Foros del Web » Programando para Internet » PHP »

[Video]3 Tips excenciales de seguridad para programadores PHP

Estas en el tema de [Video]3 Tips excenciales de seguridad para programadores PHP en el foro de PHP en Foros del Web. 3 de los errores mas comunes que comente los que recien se inician en el mundo de la programacion php y como evitarlos....
  #1 (permalink)  
Antiguo 20/02/2010, 12:37
Avatar de X3r0s  
Fecha de Ingreso: febrero-2010
Mensajes: 90
Antigüedad: 9 años, 11 meses
Puntos: 3
[Video]3 Tips excenciales de seguridad para programadores PHP


3 de los errores mas comunes que comente los que recien se inician en el mundo de la programacion php y como evitarlos.
  #2 (permalink)  
Antiguo 20/02/2010, 14:45
(Desactivado)
 
Fecha de Ingreso: febrero-2010
Mensajes: 42
Antigüedad: 9 años, 11 meses
Puntos: 1
Respuesta: [Video]3 Tips excenciales de seguridad para programadores PHP

oye brop pùedes explicamerme las reglas basicas del htaccess, gracias
  #3 (permalink)  
Antiguo 20/02/2010, 14:48
(Desactivado)
 
Fecha de Ingreso: febrero-2010
Mensajes: 42
Antigüedad: 9 años, 11 meses
Puntos: 1
Respuesta: [Video]3 Tips excenciales de seguridad para programadores PHP

las reglas vasicas del htaccess para crear urls accessibles y amigables
  #4 (permalink)  
Antiguo 20/02/2010, 15:03
Avatar de X3r0s  
Fecha de Ingreso: febrero-2010
Mensajes: 90
Antigüedad: 9 años, 11 meses
Puntos: 3
Respuesta: [Video]3 Tips excenciales de seguridad para programadores PHP

Te envie un MP :)
  #5 (permalink)  
Antiguo 20/02/2010, 15:27
 
Fecha de Ingreso: septiembre-2006
Mensajes: 127
Antigüedad: 13 años, 3 meses
Puntos: 5
Respuesta: [Video]3 Tips excenciales de seguridad para programadores PHP

Lo primero no sirve... para eso debes usar mysql_escape_string();... Es absurdo ese método, porque si yo quisiera buscar por SELECT, sería imposible encontrar algo.

Lo último que colocaste, también es inseguro... Si llegases a tener varios usuarios, basta con cambiar la cookie de rango y un usuario de rango normal, podria tener privilegios de administrador. Lo que se haría en ese caso es comprobar el rango internamente, y no con una cookie.

Adiós...
  #6 (permalink)  
Antiguo 20/02/2010, 15:42
Avatar de emiliodeg  
Fecha de Ingreso: septiembre-2005
Ubicación: Córdoba
Mensajes: 1.830
Antigüedad: 14 años, 4 meses
Puntos: 55
Respuesta: [Video]3 Tips excenciales de seguridad para programadores PHP

bueno quien se halla sentado 2 min a estudiar un poquito de seguridad en web, se abra encontrado con la frase q dice "filtra todo lo q almacenes y escapa todo lo q imprimas"
para la ultima parte, guardar info tan delicada como usuario y contraseña de logeo en un cookie es inadmitible, todo lo referente a acceso/session se guarda en una sesion en el servidor y punto

igualmente nunca esta de mas el aprote, interesante y felicitaciones, seria bueno ver algunos temas un pco mas avanzados
__________________
Degiovanni Emilio
developtus.com
  #7 (permalink)  
Antiguo 20/02/2010, 15:49
Avatar de X3r0s  
Fecha de Ingreso: febrero-2010
Mensajes: 90
Antigüedad: 9 años, 11 meses
Puntos: 3
Respuesta: [Video]3 Tips excenciales de seguridad para programadores PHP

Bien respondo a sus comentarios...:)
Cita:
.. Es absurdo ese método, porque si yo quisiera buscar por SELECT, sería imposible encontrar algo
En realidad lo que estamos filtrando con str_trplace es la variable que captura por get y no la consulta.... asi evitamos que la consulta se vea afectada por esos ataques aunque claro se puede usar mysql_escape_string(); para doble seguridad.

El metodo de seguridad por Cookie , fue un ejemplo de los casos mas comues que cometen las personas que recien se incian... simplemente capturan si la cookies es admin y nada mas , lo que explico en el video es algo como:
Si cookie rango = admin comprobar contraseña
Si contraseña no e igual 1234 el rango es visitante
si 1234 es igual el usuario es autentico admin.

Si no me di a entender bien , este error lo cometen cuando crean un "panel" de otro manera ya se deven guardar en la base de datos :)

Pero bien... como mencione son los errores mas comunes que encuentro cuando analizo scripts de novatos :)
pd:La contraseña no se alamcena totalmetne en las cookies , lo que hacer es comrpobar que la contraseña que este en la cookie sea la misma que la establecida en la variable $key_master ... nunca se gaurda informacion sensible en las cookies

Última edición por X3r0s; 20/02/2010 a las 16:04
  #8 (permalink)  
Antiguo 20/02/2010, 15:54
 
Fecha de Ingreso: septiembre-2006
Mensajes: 127
Antigüedad: 13 años, 3 meses
Puntos: 5
Respuesta: [Video]3 Tips excenciales de seguridad para programadores PHP

Me refiero a que si buscas por select, str_replace eliminará la palabra y por lo tanto no buscara nada. Basta con colocar...
Código PHP:
Ver original
  1. mysql_query("SELECT * FROM tabla WHERE campo='" . mysql_escape_string($variable) . "' ");
y ya es imposible que se produzca un SQL Injection. Bueno eso.

Adiós
  #9 (permalink)  
Antiguo 20/02/2010, 15:56
Avatar de X3r0s  
Fecha de Ingreso: febrero-2010
Mensajes: 90
Antigüedad: 9 años, 11 meses
Puntos: 3
Respuesta: [Video]3 Tips excenciales de seguridad para programadores PHP

Esta bien , Gracias por complementar :) , lo añadi al video

Última edición por X3r0s; 20/02/2010 a las 16:06

Etiquetas: programadores, seguridad, tips, video
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 12:00.