Tema: como podria mejorar la seguridad en este codigo
Ver Mensaje Individual
  #3 (permalink)  
Antiguo 03/05/2011, 01:25
Avatar de Jask
Jask
 
Fecha de Ingreso: abril-2006
Ubicación: Madrid
Mensajes: 773
Antigüedad: 18 años
Puntos: 15
Respuesta: como podria mejorar la seguridad en este codigo
Cita:
Iniciado por InKarC Ver Mensaje
Ese codigo no tiene huecos de seguridad ya que no se hacen grabaciones a bases de datos ni nada similar.

Debes tener cuidado es cuando se graba en la base de datos; hay si tienes que usar la función mysql_real_escape_string sobre el dato que vas a guardar para evitar inyecciones SQL, ejemplo:

Código PHP: 
Ver original
  1. $nombre = $_GET["nombre"];
  2. $nombre = mysql_real_escape_string($nombre);

Igualmente cuando vayas a mostrar (mas no guardar) información desde la base de datos para que no puedan inyectar javascript malicioso en tu pagina debes hacer esto:

Código PHP: 
Ver original
  1. echo htmlspecialchars($nombre);

Hay muchas otras amenazas pero esta son las mas populares y las que no puede dejar pasar por alto. Igualmente siempre es hacer cada tanto copias de seguridad de los archivos y bases de datos que utiliza,
Una pregunta al respecto, cuando haces un mysql_real_escape_string, el resultado lo guardás en una variable y luego hacés la query ??


En cuanto a htmlspecialchars no muestra los caracteres "alterados" ??

Tendré que probarlo :)

Gracias !!
__________________
Os iusti meditabitur sapientiam
Si te he ayudado, por qué no un poquito de Karma :) ?