Foros del Web » Programando para Internet » PHP »

Seguridad de mis archivos

Estas en el tema de Seguridad de mis archivos en el foro de PHP en Foros del Web. ¿Qué es lo que comunmente se hace para asegurarse de que nadie mas que yo y mis páginas php puedan modificar mis bases de datos? ...
  #1 (permalink)  
Antiguo 06/07/2004, 22:14
 
Fecha de Ingreso: mayo-2004
Mensajes: 27
Antigüedad: 13 años, 7 meses
Puntos: 0
Seguridad de mis archivos

¿Qué es lo que comunmente se hace para asegurarse de que nadie mas que yo y mis páginas php puedan modificar mis bases de datos? No quiero enredarme en el infinito tema de la seguridad, si no simplemente saber que és lo estándar.
  #2 (permalink)  
Antiguo 06/07/2004, 22:37
 
Fecha de Ingreso: marzo-2004
Ubicación: Bariloche ARGENTINA
Mensajes: 36
Antigüedad: 13 años, 9 meses
Puntos: 1
para entrar en tu base de datos podrían aplicar varias técnicas

1) la inyección sql, es decir, tendrías que evitar una consulta del tipo:
"SELECT Count(*) FROM Usuarios WHERE Usuario = '' or '1'='1' AND password = '' or '1'='1'"
que puede hacer cualquier usuario malintencionado solo poniendo " ' or '1'='1 " en campos de formularios que tomen datos de la base de datos.

¿cómo evitarlo?... bueno, deshabilitando las comillas simples de las peticiones que ingresen en tu base de datos, ya sea mediante formulario o url.

un script que hace esto es el siguiente:(podés ponerlo en todas tus páginas o simplemente llamás con un nombre cualquiera al script y lo incluis con "include" en las páginas que lo requieran)
<?
// codigo para evitar la inyeccion sql

// se modifican las variables pasadas por URL ...
foreach($_GET as $variable=>$valor){
$_GET[$variable] = str_replace("'", "\'", $_GET[$variable]);
}
// ... y tambien las variables de formularios
foreach($_POST as $variable=>$valor){
$_POST[$variable] = str_replace("'", "\'", $_POST[$variable]);
}
?>

2) si tenés algún script que haga uploads tenés que poner algún validador para que no te suban cualquier script maligno y lo ejecuten via navegador...

3) tené cuidado tambien de no dejar los archivos de configuración demasiado desprotegidos, por ejemplo, no te conviene darles por ejemplo extensión "*.inc" porque se puede invocar desde el navegador, usá mejor ".php"

eso es lo que se me ocurre ahora... tal vez hay otras maneras de evitar ataques a la db...
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 16:55.