Foros del Web » Programando para Internet » PHP »

Es seguro que una web contenga la conex a la BD, unos checkeos y el resultado ??

Estas en el tema de Es seguro que una web contenga la conex a la BD, unos checkeos y el resultado ?? en el foro de PHP en Foros del Web. Es seguro chekear los parámetros y mostrar el resultado en la misma página? Mi caso es que tengo en la misma página: - Los datos ...
  #1 (permalink)  
Antiguo 08/11/2004, 12:47
 
Fecha de Ingreso: mayo-2004
Mensajes: 398
Antigüedad: 13 años, 7 meses
Puntos: 4
Pregunta Es seguro que una web contenga la conex a la BD, unos checkeos y el resultado ??

Es seguro chekear los parámetros y mostrar el resultado en la misma página?

Mi caso es que tengo en la misma página:

- Los datos de conexión a la base de datos.

- Las comprobaciones de los campos (de otra página).

- Y el resultado de la consulta

Es seguro???



.
  #2 (permalink)  
Antiguo 08/11/2004, 12:55
Avatar de claudiovega  
Fecha de Ingreso: octubre-2003
Ubicación: Puerto Montt
Mensajes: 3.667
Antigüedad: 14 años, 1 mes
Puntos: 11
Sea que incluyas todo el codigo en un script o incluyas otro script siempre el contenido será accesible si alguien ya se metio a tu servidor, pues basta que lea donde apunta el include. La inclusión se realiza para mejorar y facilitar la comprension y manejo del programa, no tiene otro objetivo. Lo que te da seguridad es seguir los consejos de los desarrolladores de PHP y del servidor Web que utilices.
  #3 (permalink)  
Antiguo 08/11/2004, 13:10
 
Fecha de Ingreso: mayo-2004
Mensajes: 398
Antigüedad: 13 años, 7 meses
Puntos: 4
coño no, que me dices



nadie debe entrar a la bd que hago??
  #4 (permalink)  
Antiguo 08/11/2004, 13:15
Avatar de living  
Fecha de Ingreso: mayo-2004
Mensajes: 1.266
Antigüedad: 13 años, 6 meses
Puntos: 2
Bueno, eso es cierto en parte claudiovega porque puedes poner los includes en un directorio fuera del document_root y así no serían accesibles via web. El problema está en si tu servidor te da esa posibilidad.
__________________
¿Te apasiona el mundo del guión? El portal del guión
  #5 (permalink)  
Antiguo 08/11/2004, 13:29
Avatar de claudiovega  
Fecha de Ingreso: octubre-2003
Ubicación: Puerto Montt
Mensajes: 3.667
Antigüedad: 14 años, 1 mes
Puntos: 11
A ver, el asunto lo entiendo asi:

1. El servidor Web (la maquina) debe tener su propia seguridad: estar al dia con los parches, abrir sólo los puertos necesarios, etc.

2. La configuración del servidor Web (el software ahora, ejemplo Apache) debe estar bien hecha y tambien actualizado con sus debidos parches.

3. La base de datos, si está en la misma maquina que el sitio, podrías dejarla sólo accesible desde la propia maquina, a no ser que necesites conectarte a ella remotamente.

4. Al programar en Php debes observar todas las "buenas practicas" de programación, register_globals=Off, prevenir los ataque de inyeccion de sql, etc.
  #6 (permalink)  
Antiguo 08/11/2004, 13:29
 
Fecha de Ingreso: mayo-2004
Mensajes: 398
Antigüedad: 13 años, 7 meses
Puntos: 4
bueno aparte de estos puntos q los hacer mi proveedor.

yo tengo que poner los datos de conexión en diferente hoja y directorio q la hoja donde hago las consultas y comprobaciones??


.

Última edición por asitudela; 08/11/2004 a las 17:05
  #7 (permalink)  
Antiguo 08/11/2004, 17:19
 
Fecha de Ingreso: mayo-2004
Mensajes: 398
Antigüedad: 13 años, 7 meses
Puntos: 4
nadie me puede responder?? que me urge
  #8 (permalink)  
Antiguo 09/11/2004, 08:13
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
asitudela

Con que pongas tus "config" bajo una extensión .php sobra .. donde lo pongas:

config.php

<?
//y ahí tus datos que serán variables ..
$usuari_db="blabla";
$pass_db="blabla";
// etc ...
?>

Da igual si los pones en un archivo aparte o los incrustras en todo script que requiera de Base de datos.

Si usas extensión .php . .si lo "pides" por HTTP .. no vas a ver nada .. nada, por qué ahí no envias salida al cliente.

Así es PHP ... y salvo que tu aplicacion haga cosas como por ejemplo permitir descargar un archivo y .. tu en tu programación no valides que archivos pueden ser accedidos como para que te hicieran un: descargar.php?archivo=config.php .. no va a pasar nada.

A todo esto suma la seguridad que debe implementar tu própio servidor .. sea que lo administres tu mismo o lo haga tu empresa de servicios de Hosting. Por qué .. por ejemplo en un servicio de hosting compartido .. si no está bien configurado temas de "open_base_dir" y algunas otras restricciones .. si yo desde MiServidor_Virtual1 .. te hago un fopen() a tu TUServidor_VirualX que ambos están bajo el mismo servidor .. podría "traerme" tu config.php y "verlo".

Un saludo,

Última edición por Cluster; 09/11/2004 a las 08:17
  #9 (permalink)  
Antiguo 09/11/2004, 13:52
DracoTronick
Invitado
 
Mensajes: n/a
Puntos:
Yo hace un tiempito habia echo una pregunta muy parecida...pero con los "descargadores de webs" (esos programas que descargan webs completas) y la respuesta que recibi fue que esos programas no copian tus archivos del servidor (ya que no tienen acceso a el) sino que leen tu codigo html, lo copian y lo pegan en un archivo .html.
Un ejemplo muy bueno es que en el menu "ver" del Mocosoft Explorer pongas "ver codigo fuente", vas a ver que no aparece ni rastro de PHP.
Saludos
  #10 (permalink)  
Antiguo 09/11/2004, 23:48
Avatar de jpinedo
Colaborador
 
Fecha de Ingreso: septiembre-2003
Ubicación: Lima, Perú
Mensajes: 3.120
Antigüedad: 14 años, 2 meses
Puntos: 41
Agrego algo más con el fin de ponerte un ejemplito práctico:
Por ejemplo el servicio de hosting gratuito de miarroba que se cae a cada rato. muchas veces me ha mostrado el código PHP sin interpretar. Si tuvieras los parámetros de conexión en el mismo archivo, los mostraría y todos verían tu contraseña. Si los tienes aparte simplemente mostraría la línea "include('config.php')"... desde ahí ya es una ventaja tenerlo aparte.
Claro, además de todo lo que ya se ha dicho.
saludos

Última edición por jpinedo; 09/11/2004 a las 23:51
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 13:23.