como podria mejorar la seguridad en este codigo

iScapeKiller · #1 (**permalink**) 03/05/2011, 00:33

el titulo lo dice todo ocupo de su ayuda... soy novato en esto de php
y apenas se lo basico se poco de seguridad.. queria saber como mejorar la seguridad
en este codigo:

Código PHP:

  <?php

$pagina = $_GET["pagina"];

  if($pagina == inicio)

  {

 echo " Pagina inicial";

  }

  if($pagina == historia)

  {

 echo " Historia de Aconchi";

  }

   if($pagina == poblacion)

  {

 echo " Poblacion de Aconchi";

  }

?>

InKarC · #2 (**permalink**) 03/05/2011, 00:39

Ese codigo no tiene huecos de seguridad ya que no se hacen grabaciones a bases de datos ni nada similar.

Debes tener cuidado es cuando se graba en la base de datos; hay si tienes que usar la función mysql_real_escape_string sobre el dato que vas a guardar para evitar inyecciones SQL, ejemplo:

Código PHP:

Ver original$nombre = $_GET["nombre"];
$nombre = mysql_real_escape_string($nombre);

Igualmente cuando vayas a mostrar (mas no guardar) información desde la base de datos para que no puedan inyectar javascript malicioso en tu pagina debes hacer esto:

Código PHP:

Ver originalecho htmlspecialchars($nombre);

Hay muchas otras amenazas pero esta son las mas populares y las que no puede dejar pasar por alto. Igualmente siempre es hacer cada tanto copias de seguridad de los archivos y bases de datos que utiliza,

Jask · #3 (**permalink**) 03/05/2011, 01:25

Cita:

Iniciado por InKarC

Ese codigo no tiene huecos de seguridad ya que no se hacen grabaciones a bases de datos ni nada similar.

Debes tener cuidado es cuando se graba en la base de datos; hay si tienes que usar la función mysql_real_escape_string sobre el dato que vas a guardar para evitar inyecciones SQL, ejemplo:

Código PHP:

Ver original$nombre = $_GET["nombre"];
$nombre = mysql_real_escape_string($nombre);

Igualmente cuando vayas a mostrar (mas no guardar) información desde la base de datos para que no puedan inyectar javascript malicioso en tu pagina debes hacer esto:

Código PHP:

Ver originalecho htmlspecialchars($nombre);

Hay muchas otras amenazas pero esta son las mas populares y las que no puede dejar pasar por alto. Igualmente siempre es hacer cada tanto copias de seguridad de los archivos y bases de datos que utiliza,

Una pregunta al respecto, cuando haces un mysql_real_escape_string, el resultado lo guardás en una variable y luego hacés la query ??

En cuanto a htmlspecialchars no muestra los caracteres "alterados" ??

Tendré que probarlo :)

Gracias !!

InKarC · #4 (**permalink**) 03/05/2011, 01:41

Cita:

Una pregunta al respecto, cuando haces un mysql_real_escape_string, el resultado lo guardás en una variable y luego hacés la query ??

Correcto, y en cualquier query que se vaya hacer a la base de datos hay que usarlo.

htmlspecialchars transforma todo los caracteres que son propios del html y los convierte en su version html; o sea que el usuario ve lo mismo que escribio pero no ejecuta, por ejemplo si en la base de datos esta <script>window.document.href = 'http://virusX.tk'</script> eso es exactamente lo que vera el usuario, mas no se ejecuta, ya que el codigo, solo quedaria
<script>window.document.href = 'http://virusX.tk'</script> ;

htmlspecialchars tiene un segundo parametro para especificar si incluir o no las comillas doble en los caracteres a remplazar y un tercer parametro para seleccionar en que codificacion quiere el resultado (por defecto es ISO-8859-1 que usualmente sirve perfectamente)

En la pagina oficial de php puede ver mas info al respecto de esta funcion.

Jask · #5 (**permalink**) 03/05/2011, 01:55

Cita:

Iniciado por InKarC

Correcto, y en cualquier query que se vaya hacer a la base de datos hay que usarlo.

htmlspecialchars transforma todo los caracteres que son propios del html y los convierte en su version html; o sea que el usuario ve lo mismo que escribio pero no ejecuta, por ejemplo si en la base de datos esta <script>window.document.href = 'http://virusX.tk'</script> eso es exactamente lo que vera el usuario, mas no se ejecuta, ya que el codigo, solo quedaria
<script>window.document.href = 'http://virusX.tk'</script> ;

htmlspecialchars tiene un segundo parametro para especificar si incluir o no las comillas doble en los caracteres a remplazar y un tercer parametro para seleccionar en que codificacion quiere el resultado (por defecto es ISO-8859-1 que usualmente sirve perfectamente)

En la pagina oficial de php puede ver mas info al respecto de esta funcion.

Muchísimas gracias por tu aporte. La verdad me va a ser bastante útil porque la primera función que mencionas, sobre mysql, no la conocía, la segunda si, pero no sabía que se implementaba para temas de seguridad :)

un saludo y muchas gracias de nuevo.