seguridad en el envio de datos

Hola amigos,

Buenos dias, hoy les traigo unas nuevas duda, bueno mas bien ocupo su consejo y su sabiduria ;)

la situacion es la siguiente:


Cualquier información es bien recibida y mientras me pueda servir bienvenida.

Es sobre seguridad. Esto para que mi sistema este en un nivel decente en cuanto a seguridad. La verdad soy Level 1 en php pero me interesa la seguirad de los datos cuando los envié por la red.


El sistema usa el método $_POST para el envió del formulario, estoy utilizando Mysql y php obviamente


Preguntas

1.- Que tan estable son las bases de datos en Mysql para el manejo de bastante cantidad de información unos 500 registros diarios de aquí a diciembre

2.- Que protocolos de seguridad debería llevar a cabo para hacer el envió de datos, yo base en código simple que encontré en sitios y así.

3.- Me serviría utilizar Carpetas con contraseña? sin session o estaria bien usar las dos?

4.- El Host que contratare me regala un certificado SSL me serviría de algo implementarlo?

6.- Es conveniente usar las credenciales del acceso a Mysql en la pagina donde se trabajo o es mejor hacer un archivo que haga la coneccion y el query aparte? ejemplo: conectar.php

Me gustaría que me guiaran y me aconsejaran que debo hacer, mejorar, etc

Muchas gracias y que tengan un excelente día.


Cualquier duda estare muy pendiente a sus publicaciones, gracias.

Consejos, sí, la sabiduría, en cuanto la adquiera (si es que llego a eso), con todo gusto.

1. MySQL es muy estable, lo que habría que valorar es que tan optimizadas están tus consultas, que es lo que puede llegar a ocasionar alguna inestabilidad o saturar al servidor.

2. Nunca confíes en los datos introducidos por el usuario, siempre aségurate de que son válidos, por tipo y valor. También debes hacer lo necesario para evitar inyecciones SQL (con mysql_real_escape_string() puedes solucionarlo) y ataques XSS (busca en el foro, hay un aporte de GatorVmuy bueno al respecto).

3. Para qué las carpetas con contraseña?, cuál sería el objetivo? Un buen manejo de sesiones suele ser suficiente, pero, sin saber las características de tu proyecto, es difícil abundar sobre el tema.

4. Tú eres el más apto para responder a esta pregunta. Si vas a involucrar alguna forma de dinero (pagos, cobros, etc.) o manejas información que requiere estricta confidencialidad, entonces sí, realiza todas las transacciones con protocolo HTTPS.

5. ( Ups!!! esta pregunta la robó alguien! )

6. Cómo? te juro que no entendí, pero, por si acaso, en algún momento debes establecer conexión a la base de datos y sería más útil tener un script exclusivo para eso y con un simple include 'conexion.php'; lo logras.

Sobre decirte en qué puedes mejorar, el adivino se fue de vacaciones por semana santa, así que tendrás que mostrar los códigos en los que tienes dudas.

Muchísimas gracias.

Seguiré sus consejos, sobre todo en lo de inyecciones del SQL (en cuanto termine de comprender).

* Me gustaría saber si lo que entendí sobre inyecciones es que alguien introduzcan un un código SQL en un campo del formulario y este mismo modifique el comportamiento de la base de datos?


La verdad los datos que manejare si son delicados, por que tenemos competencia en esto y podría ser un arma poderosa para esta.


De verdad tratare de llevar a cabo todos los puntos que mencionaste a la practica apenas una semana atras me encomendaron esta tarea y es un sistema un poco complejo y como siempre lo quieren para ayer.

saludos y de nuevo muchas gracias, una disculpa por la pregunta 5 jejeje seguramente estare por aqui bastante tiempo :D

Hola!

El SQL Injection es uno de los problemas de seguridad mas comunes en las aplicaciones web.

La regla de oro es la del Dr. House: "Everybody lies".

Nunca confies en los datos ingresados por el usuario!

Mas info: [URL="http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL"]http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL[/URL]

Exitos!

Sds.