Algunos consejos para mejorar la seguridad de mi web?

ColdFusion · #1 (**permalink**) 20/01/2011, 18:49

veran, mi hermano, un amigo y yo estamos comenzando con un proyecto de boletines , el script es totalmente hecho por nosotros, pero somo bien temerosos en cuanto a la seguridad de nuestra area de administracion.

Tememos que alguna persona se pueda meter y nos arruine todo.

Nesecito consejos o ideas de como puedo tener esa area lo mas segura posible, Gracias!!!!

DiamanteZero · #2 (**permalink**) 20/01/2011, 18:57

Muestra el Script o code que tienes, asi los que tengan conocimiento sobre el tema en cuestion te podran decir, si esta bien estructurado, o si tiene fallas, etc.

BeginRails · #3 (**permalink**) 20/01/2011, 19:16

Trata de evitar lo más que puedas el envio de variables via GET, o usar campos en formularios Hidden.

También pon en el inicio de todos tus scripts php esta función:

Código PHP:

  error_reporting(0);

Esto hace que no muestre los errores de tus scripts a los usuarios!

Saludos

ColdFusion · #4 (**permalink**) 20/01/2011, 19:29

evito usuarios que no esta logeados (es decir que no sean admin).

Código PHP:

  session_start(); 
if (!es_admin()) { 
header("location: index.php"); 
exit(); 
}

"en el index esta ubicado el form de logeo"

La funcion es_admin esta estructurada asi '

Código PHP:

  function es_admin() { 
    if (isset($_SESSION['xa_usuario'])) return true; 
    else return false; 
}

Logeando el admin

Código PHP:

  if ($ingresar) : 
$nombre = $_POST['nombre']; 
$pass = $_POST['pass']; 
 
if ($nombre == $config['admin']['nombre'] && $pass == $config['admin']['pass']) $_SESSION['xa_usuario'] = 'xxx'; 
endif;

$config como se podran fijar es una Matrix.

algunos consejos de codigo?

elizaabeeth · #5 (**permalink**) 21/01/2011, 06:41

No puedes asegurar una página en HTML porque en HTML no hay nada qué asegurar. Siempre se va a poder ver el código. Peros sobretodo por lo que no se puede asegurar es porque no hay nada que explotarle a una página en HTML.

Si quieres saber de seguridad en PHP tienes que estudiar PHP o cualquier lenguaje que vayas a usar. Ahí estudiarías lo que son las sesiones, cuentas, accesos, módulos, etc. Y aprenderás a cómo limpiar de SQL Injection el código en los formularios, etc, etc.

Pero en HTML no hay nada que asegurar porque no hay nada que explotar. En cambio en PHP y otros si es posible y necesario.

Ronruby · #6 (**permalink**) 21/01/2011, 08:16

Cita:

Iniciado por elizaabeeth

No puedes asegurar una página en HTML porque en HTML no hay nada qué asegurar. Siempre se va a poder ver el código. Peros sobretodo por lo que no se puede asegurar es porque no hay nada que explotarle a una página en HTML.

Si quieres saber de seguridad en PHP tienes que estudiar PHP o cualquier lenguaje que vayas a usar. Ahí estudiarías lo que son las sesiones, cuentas, accesos, módulos, etc. Y aprenderás a cómo limpiar de SQL Injection el código en los formularios, etc, etc.

Pero en HTML no hay nada que asegurar porque no hay nada que explotar. En cambio en PHP y otros si es posible y necesario.

Nadie ha hablado de asegurar con HTML. Desde el principio se esta hablando de protegerse en cuanto a ataques del tipo SQL Injection, XSS, CSRF, entre otros, por ejemplo.

@ColdFusion, ¿en algun momento tu pagina recibe input del usuario final?