Dudas con seguridad en PHP

zithum1989 · #1 (**permalink**) 10/05/2014, 16:40

Buenas noches, estoy queriendo inciar un proyecto de web una , la cual deseo poder desarrollar desde cero. Creando yo mis propias pantillas HTML, CSS, PHP y MySQL.

Estuve leyendo y me entraron algunas dudas al respecto en lo que se refiere a seguridad web.

Mi duda basicamente es la siguiente, al yo tener un archivo.php con el nombre de usuario, contraseña y otros datos, y, cada vez que desee acceder a la base de dato debo primero ejecutar dicho archivo para establecer una comunicacion con el servidor de MySQL pero... ¿Es necesario encryptar esa comunicación?

Yo creo que al ser un archivo del lado del servidor no creo necesario encryptar ya que la información no sale del servidor (por asi decirlo) y no tiene contacto con el exterior donde no tendria problema de que alguien capture la información del usuario y contraseña.-

edward1994 · #2 (**permalink**) 10/05/2014, 17:37

No no es necesario encriptar, anque como siempre digo ningun sistema es 100% Seguro...te pondre el ejemplo de una casa: Lo normal es entrar por la puerta! pero tambien puedes entrar por la ventanta! Entrar por la ventana no es lo normal Pero lo puedes hacer y alli te evitas todos los protocolos que son para entrar por la puerta! Lo que te quiero decir es que asi protejas tu codigo de todo...siempre tendrás una ventana por algún lado! Y a veces pienso que eso es lo bueno que te hackeen una web, ya que asi te das cuenta de tus debilidades y las corriges para que no vuelva a suceder! haciéndote a ti un mejor programador.

Italico76 · #3 (**permalink**) 10/05/2014, 19:48

Tu no encriptas la comunicacion con el motor de base de datos, lo que DEBES encriptar es el password de los usuarios al almacenarlos. Aplica un hash() en lo posible mejor a md5()

Ejemplo con md5()

Cita:

INSERT INTO usuarios set nombre='$nombre', password=md5('$pass');

y al recuperar haces:

Cita:

SELECT nombre, md5(password) as pass FROM usuarios WHERE id = $id

zithum1989 · #4 (**permalink**) 11/05/2014, 17:08

Eso quiere decir que si solo necesito comunicarme con la base de datos para recuperar información como el titulo de algún tema, la fecha de publicación o datos similares SIN necesidad de contar con permiso de acceso por usuario ni relacionado, simplemente debo ejecuto una conexión con el moto de datos, luego realizo la consulta SQL y listo, quiere decir NO!! es necesario encryptar ningún dato???

gnzsoloyo · #5 (**permalink**) 11/05/2014, 17:25

La decisión de encriptar o no un dato en la base es una decisión de diseño. No es obligatorio, aunque en ciertas organizaciones y para ciertos datos, se suele exigir por un lado que se encripten algunos datos puntuales, y por otro lado que otros datos no se almacenen (por ejemplo, los códigos de seguridad de las tarjetas de crédito).
En cualquier caso, encriptar el dato en la tabla no es el único modo de asegurarlo. Recuerda que se puede encriptar el enlace con SSL, por ejemplo...

Ver: http://dev.mysql.com/doc/refman/5.0/...nnections.html

Italico76 · #6 (**permalink**) 11/05/2014, 17:43

A cada mensaje de @gnzsoloyo aprendo algo nuevo... :P

Mis diculpas, no sabia se pudiera encriptar la conexion