Foros del Web » Programando para Internet » PHP »

seguridad en el envio de datos

Estas en el tema de seguridad en el envio de datos en el foro de PHP en Foros del Web. Hola amigos, Buenos dias, hoy les traigo unas nuevas duda, bueno mas bien ocupo su consejo y su sabiduria ;) la situacion es la siguiente: ...
  #1 (permalink)  
Antiguo 05/04/2012, 15:16
 
Fecha de Ingreso: agosto-2011
Ubicación: Ensenada
Mensajes: 24
Antigüedad: 8 años, 7 meses
Puntos: 0
Sonrisa seguridad en el envio de datos

Hola amigos,

Buenos dias, hoy les traigo unas nuevas duda, bueno mas bien ocupo su consejo y su sabiduria ;)

la situacion es la siguiente:


Cualquier información es bien recibida y mientras me pueda servir bienvenida.

Es sobre seguridad. Esto para que mi sistema este en un nivel decente en cuanto a seguridad. La verdad soy Level 1 en php pero me interesa la seguirad de los datos cuando los envié por la red.


El sistema usa el método $_POST para el envió del formulario, estoy utilizando Mysql y php obviamente


Preguntas

1.- Que tan estable son las bases de datos en Mysql para el manejo de bastante cantidad de información unos 500 registros diarios de aquí a diciembre

2.- Que protocolos de seguridad debería llevar a cabo para hacer el envió de datos, yo base en código simple que encontré en sitios y así.

3.- Me serviría utilizar Carpetas con contraseña? sin session o estaria bien usar las dos?

4.- El Host que contratare me regala un certificado SSL me serviría de algo implementarlo?

6.- Es conveniente usar las credenciales del acceso a Mysql en la pagina donde se trabajo o es mejor hacer un archivo que haga la coneccion y el query aparte? ejemplo: conectar.php

Me gustaría que me guiaran y me aconsejaran que debo hacer, mejorar, etc

Muchas gracias y que tengan un excelente día.


Cualquier duda estare muy pendiente a sus publicaciones, gracias.
  #2 (permalink)  
Antiguo 05/04/2012, 15:40
Avatar de Triby
Mod on free time
 
Fecha de Ingreso: agosto-2008
Ubicación: $MX->Gto['León'];
Mensajes: 10.025
Antigüedad: 11 años, 7 meses
Puntos: 2206
Respuesta: seguridad en el envio de datos

Cita:
Iniciado por vallescamacho Ver Mensaje
Buenos dias, hoy les traigo unas nuevas duda, bueno mas bien ocupo su consejo y su sabiduria ;)
Consejos, sí, la sabiduría, en cuanto la adquiera (si es que llego a eso), con todo gusto.

Cita:
Iniciado por vallescamacho Ver Mensaje
1.- Que tan estable son las bases de datos en Mysql para el manejo de bastante cantidad de información unos 500 registros diarios de aquí a diciembre

2.- Que protocolos de seguridad debería llevar a cabo para hacer el envió de datos, yo base en código simple que encontré en sitios y así.

3.- Me serviría utilizar Carpetas con contraseña? sin session o estaria bien usar las dos?

4.- El Host que contratare me regala un certificado SSL me serviría de algo implementarlo?

6.- Es conveniente usar las credenciales del acceso a Mysql en la pagina donde se trabajo o es mejor hacer un archivo que haga la coneccion y el query aparte? ejemplo: conectar.php
1. MySQL es muy estable, lo que habría que valorar es que tan optimizadas están tus consultas, que es lo que puede llegar a ocasionar alguna inestabilidad o saturar al servidor.

2. Nunca confíes en los datos introducidos por el usuario, siempre aségurate de que son válidos, por tipo y valor. También debes hacer lo necesario para evitar inyecciones SQL (con mysql_real_escape_string() puedes solucionarlo) y ataques XSS (busca en el foro, hay un aporte de GatorVmuy bueno al respecto).

3. Para qué las carpetas con contraseña?, cuál sería el objetivo? Un buen manejo de sesiones suele ser suficiente, pero, sin saber las características de tu proyecto, es difícil abundar sobre el tema.

4. Tú eres el más apto para responder a esta pregunta. Si vas a involucrar alguna forma de dinero (pagos, cobros, etc.) o manejas información que requiere estricta confidencialidad, entonces sí, realiza todas las transacciones con protocolo HTTPS.

5. ( Ups!!! esta pregunta la robó alguien! )

6. Cómo? te juro que no entendí, pero, por si acaso, en algún momento debes establecer conexión a la base de datos y sería más útil tener un script exclusivo para eso y con un simple include 'conexion.php'; lo logras.

Sobre decirte en qué puedes mejorar, el adivino se fue de vacaciones por semana santa, así que tendrás que mostrar los códigos en los que tienes dudas.
__________________
- León, Guanajuato
- GV-Foto
  #3 (permalink)  
Antiguo 05/04/2012, 20:20
 
Fecha de Ingreso: agosto-2011
Ubicación: Ensenada
Mensajes: 24
Antigüedad: 8 años, 7 meses
Puntos: 0
Respuesta: seguridad en el envio de datos

Cita:
Iniciado por Triby Ver Mensaje
Consejos, sí, la sabiduría, en cuanto la adquiera (si es que llego a eso), con todo gusto.



1. MySQL es muy estable, lo que habría que valorar es que tan optimizadas están tus consultas, que es lo que puede llegar a ocasionar alguna inestabilidad o saturar al servidor.

2. Nunca confíes en los datos introducidos por el usuario, siempre aségurate de que son válidos, por tipo y valor. También debes hacer lo necesario para evitar inyecciones SQL (con mysql_real_escape_string() puedes solucionarlo) y ataques XSS (busca en el foro, hay un aporte de GatorVmuy bueno al respecto).

3. Para qué las carpetas con contraseña?, cuál sería el objetivo? Un buen manejo de sesiones suele ser suficiente, pero, sin saber las características de tu proyecto, es difícil abundar sobre el tema.

4. Tú eres el más apto para responder a esta pregunta. Si vas a involucrar alguna forma de dinero (pagos, cobros, etc.) o manejas información que requiere estricta confidencialidad, entonces sí, realiza todas las transacciones con protocolo HTTPS.

5. ( Ups!!! esta pregunta la robó alguien! )

6. Cómo? te juro que no entendí, pero, por si acaso, en algún momento debes establecer conexión a la base de datos y sería más útil tener un script exclusivo para eso y con un simple include 'conexion.php'; lo logras.

Sobre decirte en qué puedes mejorar, el adivino se fue de vacaciones por semana santa, así que tendrás que mostrar los códigos en los que tienes dudas.
Muchísimas gracias.

Seguiré sus consejos, sobre todo en lo de inyecciones del SQL (en cuanto termine de comprender).

* Me gustaría saber si lo que entendí sobre inyecciones es que alguien introduzcan un un código SQL en un campo del formulario y este mismo modifique el comportamiento de la base de datos?


La verdad los datos que manejare si son delicados, por que tenemos competencia en esto y podría ser un arma poderosa para esta.


De verdad tratare de llevar a cabo todos los puntos que mencionaste a la practica apenas una semana atras me encomendaron esta tarea y es un sistema un poco complejo y como siempre lo quieren para ayer.

saludos y de nuevo muchas gracias, una disculpa por la pregunta 5 jejeje seguramente estare por aqui bastante tiempo :D
  #4 (permalink)  
Antiguo 05/04/2012, 21:32
Avatar de elarrieux  
Fecha de Ingreso: abril-2012
Ubicación: Uruguay
Mensajes: 67
Antigüedad: 7 años, 11 meses
Puntos: 26
Respuesta: seguridad en el envio de datos

Hola!

El SQL Injection es uno de los problemas de seguridad mas comunes en las aplicaciones web.

La regla de oro es la del Dr. House: "Everybody lies".

Nunca confies en los datos ingresados por el usuario!

Mas info: [URL="http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL"]http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL[/URL]

Exitos!

Sds.

Etiquetas: mysql, seguridad
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 12:57.