Seguridad en PHP

Anarninquë · #1 (**permalink**) 24/09/2007, 22:12

Hace algún tiempo ya que programo en PHP (y utilizo MySQL como manejador de BBDD), nunca estuve demasiado involucrado en la seguridad web, me gustaría saber que cosas o puntos fuertes debemos tener en cuenta.

Por ejemplo, protegernos contra Inyección de código SQL, controlar los tipos de archivos que se suben en un upload, y que más...?

Se escuchan ideas de Cosas a tener en cuenta para un script PHP seguro...

Saludos, espero que alguien se sume a tirar algunas cosas a tener en cuenta

#2 (**permalink**) 25/09/2007, 06:39

Uffff, por dónde empezar...

register_globals OFFFFFFFFFFFFFFFFFFFFFFFFFF
Creo que a estas alturas ya debería ser obvio, pero sigue habiendo gente que hace que sus programas dependan de eso.

Controlar inyección de cabeceras en formularios de correo:
No permitir caracteres \r o \n en campos que deberían ser de 1 sola línea ("asunto", "de", etc).

NO confiar en el usuario:
El programa tiene que considerar cualquier interacción con el "mundo exterior" como peligrosa y no confiable. Creo que esta es la "regla de oro"...

Usar transacciones en las BD
Tenemos que hacer todo lo que esté a nuestro alcance a la hora de mantener la integridad de los datos, las transacciones son una buena forma. Las tablas MyISAM de MySQL no soportan transacciones, pero sí las soportan las tablas InnoDB. Si hay que hacer varias "guardadas", mejor juntarlas en una transacción.

Eso se me ocurre por ahora...

nicolaspar · #3 (**permalink**) 25/09/2007, 10:05

Tenes muuucho a tener en cuenta, pero inicialmente, contestándote:
1- protegernos contra Inyección de código SQL,
2- controlar los tipos de archivos que se suben en un upload.

1- Lo mejor es usar las funciones que te da, en este caso, mysql (en si la dll de php que conecta con la db). Hay funciones como mysql_real_escape_string con eso ya estarías cubierto.

2- Como general y básico usa los headers propios de los archivos NO valides jamás por extensión, si es imagen/flash tenes la dg, sino siempre hay algun script que ayude (ej, para leer un mp3, o un doc).

Y como dice alvin, nunca hay que confiar en el usuario pero con tener los datos de entrada controlados contra sql inyección y xss ya estas dando un gran paso.

Anarninquë · #4 (**permalink**) 26/09/2007, 11:24

Muchas gracias a ambos por las ideas y consejos, encontré por ahí una función (que adjunto abajo) para hacer segura una consulta a BBDD, simplemente usandola ya estaría protegido contra cualquier tipo de injección de SQL, verdad?

Código PHP:

  function limpiar_sql($var) {
$var = addslashes(trim($variable));
return $var;
}

Seppo · #5 (**permalink**) 26/09/2007, 12:40

Cita:

Iniciado por Anarninquë

Muchas gracias a ambos por las ideas y consejos, encontré por ahí una función (que adjunto abajo) para hacer segura una consulta a BBDD, simplemente usandola ya estaría protegido contra cualquier tipo de injección de SQL, verdad?

Código PHP:

  function limpiar_sql($var) { 
$var = addslashes(trim($variable)); 
return $var; 
}

En vez de addslashes deberías usar *_escape_string, que es mejor para bases de datos, si es Mysql mysql_real_escape_string

Anarninquë · #6 (**permalink**) 26/09/2007, 17:54

Así que esta sería nuestra función para prevenir sql inyections:

Código:

function limpiar_sql($var) {
$var = mysql_real_escape_string(trim($variable));
return $var;
}

Correcto? alguna sugerencia mejor?

Digo para dejar plasmada una linda solución (para que sirva mas que a mi a todos los que en algún momento lleguen a este post

)

hgp147 · #7 (**permalink**) 26/09/2007, 20:40

Hola Anarninquë, encontre estos articulos de seguridad para PHP:

http://64.233.169.104/search?q=cache...hp_seguridad_I

http://64.233.169.104/search?q=cache...p_seguridad_II

http://64.233.169.104/search?q=cache..._seguridad_III

Anarninquë · #8 (**permalink**) 26/09/2007, 22:25

Gracias hgp147 por enviar esos artículos, lamentablemente no me permite cargarlos :s si los tienes en tu pc me los enviarías por e-mail?

Aprovechando para continuar con los temas de seguridad en php, consulto sobre que precausiones habría que tomar en cuenta a la hora de hacer una conexión a la base de datos, yo muchas veces tengo un archivo que incluyo en las páginas en el que me conecto de la forma mas "común y simple":

Código PHP:

  $db_conect = mysql_connect (HOST, USUARIO, PASSWORD) or die ('Error al intentar establecer una conexión con la base de datos. ' . mysql_error());
mysql_select_db (BASE_DE_DATOS);

Mi duda es si sería recomendable hacerlo de alguna otra manera más segura, y en el caso de haberla, cuál?

Saludos, comento que mi idea es al final de este thred hacer una recopilación de varios consejos y tips de seguridad a la hora de programar

Incluso se podría poner como una FAQ

Saludos

DarkJ · #9 (**permalink**) 27/09/2007, 02:53

display_errors 0 - no hay que dar pistas al enemigo

log_errors 1 - pero tienes que poder ver los mensajes de error

usar trigger_error() en lugar de die() para registrar los errores de ejecucion.

Código PHP:

  $db_conect = mysql_connect (HOST, USUARIO, PASSWORD); 
if (false===$db_connect) { 
// si se puede recuperar, recuperar 
// si se quiere mostrar algo en pantalla, mostrar 
// pero para que se registre el error, trigger_error 
  trigger_error ('Error al intentar establecer una conexión con la base de datos. ' . mysql_error(), E_USER_ERROR); 
} 
mysql_select_db (BASE_DE_DATOS);

Anarninquë · #10 (**permalink**) 28/09/2007, 17:41

Muchas gracias DarkJ por el consejo, una pregunta, cual es bien la salida de trigger_error?

Me explico, que genera? supongo que nada por pantalla, genera un archivo con el log en el server? dónde?

Gracias por la info!