Scrip base para web de php?

Durante bastante tiempo he aprendido php a base de practica, este mes me puse a estudiar php formalmente, y si aprendí algo es que es complicado hacer aplicaciones seguras y sin fallos.

El caso es que hay muchos scripts sencillos como en la wiki php de este foro, pero esa base tengo nivel para hacerla , aunque están muy bien aportes como este: http://www.forosdelweb.com/f18/aport...aporte-561417/, pero en la practica no sirve para nada, ya que son aplicaciones inseguras y no sirven si quieres hacer un sitio medianamente serio...

Mi primera idea fue descargar scripts maduros como WordPress, Nuke y demás scripts de hotscripts, pero desgranar la utilidad que quieres de entre tanto código es aún mas complicado.

La pregunta por tanto es si usáis algún script base a la hora de empezar un sitio o una librería de scripts que sean seguros, que tengan las funciones básicas de un sitio.

Ahora si, lo había borrado.

Saludos y gracias.

Tienes que tener en cuenta que ese código es básico y que su propósito no es COPIAR y pegar y listo, sino, ver como funciona, estudiarlo y aprender.

Al menos yo, me gusta programar todo desde 0 para saber toda la funcionalidad y eso. Así no tengo que complicarme con scripts creados por otras personas que probablemente no tendran todo lo que yo necesite.

Es mas lioso estudiar un código ajeno, cambiarlo e implementarlo que crear el tuyo propio. A menos que este cuenta con un API personalizable con todas las funciones necesarias para un usuario.

Por supuesto por eso lo que quiero son las 4 funcionalidades básicas programadas de forma segura; registro y control de sesiones, envío formulario , subida de archivos y poco mas, no tiene porque ser un script mucho mas complejo que el ejemplo básico de arriba.

Claro que luego voy a adaptar todo lo que tome como base, pero yo no puedo ir implementando la seguridad asta el nivel que yo tenga y después ir cambiando la web a medida que alguien ataque la web y vea que ha fallado, si es que tiene arreglo y me doy cuenta.

Estaríamos tontos si escribiésemos desde 0 algo tan básico como registro y controles de sesión de forma segura, hasta donde lleguen nuestros conocimientos de seguridad contra los conocimientos de todo intruso potencial en internet, uno mismo contra millones... no es equilibrado.

No creo que sea ese el mejor método de hacer un sitio seguro, en el mundo de el software libre si hay algo primordial es la colaboración y el compartir código, y equilibrar la balanza todos contra todos. Lo único que busco son las 4 funciones básicas para un sitio escritas de forma segura y a partir de allí ya me lo trabajare.

Ahora mismo me estoy peleando con el código ese aplicando addslashes, htmlentities, e intentando saltar yo mismo la seguridad, para aprender muy bien, pero no se yo tanto de hacking y code injection como para poner yo mismo el listón de seguridad de mi sitio. Tendrá que haber por ahí unos scripts básicos seguros, y si lo pregunto es porque obviamente he buscado y no encontrado.

Queda claro espero ahora.

las 4 funcionalidades basicas de php escritas de forma segura?
jajaja no pues si.

y que tal si aprendes php? si sabes php tendrás las aplicaciones como dios manda, imaginate a los de wordpress, diciendo escribeme esto de forma segura para hacer mi isstema de blogs.

Eso es una tonteria, debes aprender a hacer upload de archivos, registro de usuarios, y otras cosas primero, por que es lo básico, la seguridad viene después, bueno desde mi punto de vista, por que si no, sería mucho más lento el proceso.

Vamos a ver, yo no estoy diciendo que nadie escriba nada, solo pregunto si sabéis de unos scripts básicos que tengan en cuenta la seguridad.

En el primer post ya he dicho que he estudiado php.

Domino todos los loops y condicionales, arrays, funciones y clases he estado haciendo practicas este mes con las funciones integradas más comunes, me las se de memoria así como las prioridades de los operadores y demás cosas que son impresindibles saber de memoria para no estar mirando todo el tiempo el cheat sheet, me conozco al dedillo todas las funciones de imágenes ya que programe una aplicación para mi uso, para automatizar la contabilización de facturas enseñando al código a pillar nombres y números de una imagen, no tiene nada que ver con el tema pero quiero decir que he creado cosas mas o menos complejas con php.

Esta semana me la he pasado toda viendo el videotutorial del SeptimoContinente de php y mysql para repasar y que no me faltara nada por saber y por lo que me pudiera aportar un formato de aprender mas profesor - alumno, lo menos me he tragado 40 horas de video esta semana. Luego le he pegado otro repaso a los libros de Orelly de php que tengo, y me he echo unos apuntes propios. Así que no me digas a mi que me ponga a aprender php. Y se que no tengo un nivel avanzado, pero también pondría la mano en el fuego de que hasta yo podría vulnerar la seguridad de un script de registro que hicieses tu. Creo sinceramente que no comprendes la complejidad que entrama la seguridad en una web, te la pueden meter , con perdón, por muchos lados, y es dificil que una persona con un nivel medio de php y mysql cree una aplicacion suficientemente segura.

Los siento por el tocho pero no me ha gustado nada el tono del “individuo este”.

jaja, sabes tanto y ¿no conoces la seguridad de php?

pues que mal, si, seguro que me la meten jaja , y seguro que tu podrias destruirme una web sin dudarlo, nada más hay que ver como explicas las cosas para darse cuenta cuantas horas haz dedicado y cuanto sabes de php, y como alguien como yo es un petardo en el foro, yo se de unos scripts básicos que toman en cuenta la seguridad en php.

y vienen en algo llamado manual de php

http://php.net

y tienes razón, yo no se nada de php o poderoso sabio de la programación, a diferencia tuya, yo creo que mi nivel es muy básico y mediocre, por que siempre quiero aprender más y yo me avente dos meses estudiando php y phpOO, 100 horas de videotutoriales y aun ahora sigo aprendiendo. siento haber menospreciado tu poderoso ser jeje. prometo no volverlo a hacer.

Seguramente sabras mas que yo, y lo digo en serio, y no me duele decirlo.

Y si ya conocia php.net y he colaborado tambien.

Mi enfado en cuanto a vulnerar una aplicación tuya, obviamente he exagerado, lo que queria decir es que desde mi punto de vista menosprecias la seguridad, sobretodo cuando dices"sabes tanto y ¿no conoces la seguridad de php?", ya he explicado el porque de la consulta desde mi punto de vista eres tu contra toda la red, y crees que por que busque un script reconocidamente seguro crees que no tengo ni idea de php ni intencion de aprender mas o que no tengo ganas de escribir codigo y no es asi tampoco.

No es tan facil escribir un codigo seguro a prueba de todo, incluso los grandes sitios tienen bugs...

Y mejor no discutir mas, almenos por mi parte. Si no hay scripts basicos seguros pues lo hare yo, intentare hacer seguro el ejemplo de registro de arriba y lo aportare al foro.

Yo he escrito registros de forma segura sin haberme vuelto tonto.
Es que en serio, a menos a mi parecer, tarda mas tiempo analizar, editar e implementar un código ajeno. Sin embargo, cuando haces todo el código tu teniendo en cuenta la seguridad, no tendrás ese problema. Aparte, TAN difícil no es, de hecho, es bastante fácil.

Solo es cosa de hacer unas cuantas comprobaciones y usar una que otra técnica para evitar los ataques mas comunes en el entorno web.

Tienes dos opciones para resolver lo que pides:
CMS, es decir, aplicaciones web hechas para gestionar contenidos de forma sencilla sin programar demasiado.
O mejor: Frameworks. Es decir, una serie de librerías programadas para evitar que tú tengas que programar siempre las mismas cosas, como el sistema de login, formularios para las tablas de la BD, el tema del idioma, la seguridad, etc.
El que suelo recomendar se llama SYMFONY, hecho por y para programadores PHP. Utiliza el patrón de diseño más robusto que existe para la programación web, es decir, el famoso patrón MVC.
Es durillo de aprender, pero una vez le pillas el tranquillo, desarrollarás aplicaciones web a la velocidad de la luz muy robustas. Te ofrece un montón de scripts que autogeneran cñodigo por tí (como el caso del login, gestión de idiomas, creación de listas y formularios de tablas, etc). Pero repito, para empezar con él debes de tener muy claros los conceptos generales de la programación orientada a objetos, y cuesta bastante empezar a utilizarlo.

Quizas no sea tan complicado como lo veo ahora, pero no se cuantas horas llevo con el tema del registro, y no tengo una solucion aceptable.

Gracias por tu respuesta.

Esta claro que quiero evitar recurrir a los CMS, empece a programar hace años modificando estos y se lo complejo que es trabajar con codigo ajeno.

Me parece muy interesante lo que me comentas de SYMFONY. Gracias por tu respuesta.

Pudiste haber usado tantas horas para crear un script de registro y hubiera quedado perfecto.

Bueno el script es lo de menos, lo tengo echo y funcionando, lo que no tenia claro es la seguridad, aunque creo que ya lo tengo.

Lo que me ha quedado claro es no confiarse solo con mysql_real_escape_string() y no usar addslashes(). Ya que no son suficientemente seguras aparte de que addslashes sera depreciada proximamente.

Si usas mysql_real_escape_string() no hay necesidad de usar addslashes().
Te dejo este link que trata algunos temas de seguridad:
http://phpsec.org/projects/guide/2.html

Ahora estoy usando esto para filtrar.

Aparte de filtrar cada string por las caracteristicas que se supone que tienen que tener. No se si hay algo mas que se pueda hacer.

Gracias por el link, voy a leermelo.

¿Que vulnerabilidad le encontraste?