Es completamente seguro PHP ???

Hola senores

Cuando necesito conectarme a la BD para alguna consulta debo poner el nombre de esta, el usuario y clave en el codigo, informacion que solo se ve cuando abro el archivo mismo con algun editor.

Cuando abro el archivo via algun navegador el source aparece en blanco porque todo el codigo PHP contenido entre "<?php ... ?>" desaparece, pero aun tengo la duda de si es del todo confiable eso. Existe alguna forma de hackear el codigo ???

No me interesa hackear el codigo de nadie, me interesa proteger mi propio codigo de otros y si eso es posible, que metodos puedo usar para evitar el hackeo ???.

Es confiable
por que simplemente php se ejecuta del lado servidor.



Lo que si te aconsejaria es que desabilites todos los mensajes generados por tu servidor
Es una forma de aumentar tu confidencialidad.

http://www.forosdelweb.com/f18/evita...or-php-530176/

Y filtres todos los datos que procesa php con funciones como
xss_clean , htmlentities , etc

El lenguaje es seguro, mas lo que te dijo gjx2 lo hace mas confidencial, siempre los que cometen errores de seguridad son los programadores xD, si buscas en google articulos acerca de la seguridad, los humanos tenemos el top 1, en el escalon mas debil de la seguridad xD

@gjx2: Perfecto, si note como los errores mostraban la direccion excata en el servidor, cosa que me parecio un tanto preocupante por lo que usaba la @ delante de ciertas funciones.

Gracias por las sugerencias, las pondre en practica.


Pero lamentablemente somos nosotros los humanos los que tenemos que escribir los codigos, asi que como hacerle, jajajaja.

buenas!!!

Junihh

el Lenguaje como tal, es 100% seguro como ya te dijeron los compañeros, y creo que ya te dijeron todo al respecto de tu pregunta

ahora ... con respecto a lo que comentas del hackeo
Tuve un profesor que nos decia "para ser un excelente administrador de seguridad, tienes que conocer las maneras de quebrarla"

en otras palabras... no puedes montar un sistema seguro si desconoces las posibilidades, medios, formas y demas circunstancias en las cuales tu servidor puede ser victimado.

te recomiendo que leas e investigues al respecto, y porque no, en forma local lo experimentes porque esa es la mejor manera de aprender

un saludo!!

Exacto, las formas quizás más comunes para vulnerar un código es que dejes algún dato sin limpiarlo al consultar a la base de datos o no hagas las suficientes validaciones antes de realizar alguna operación, y por último, que el hacker tenga acceso a tu servidor (ya esto toca al hosting).

Para darte un ejemplo, Facebook está programado en PHP ;)

Pero dichos errores los necesitas en el proceso de desarrollo ...
Usa configuraciones generales, cambia el valor de error_reporting() según el ambiente donde estés trabajando.

Serán raro el caso, pero no imposible; Puede darse que por mantenimiento, actualizaciones, modificaciones al servidor, o lo que sea, que el interprete falle entregándote el archivo completo.

Una buena práctica de seguridad es trabajar por debajo del directorio que funge como raíz del dominio, esto impide el acceso directo desde el navegador, lo cual se traduce también en tener un script que sirva como proxy (el index.php) que resuelva todas las peticiones y genere el contenido (por medio de includes, sería lo más simple). Buscar por "web modular" para una idea de cómo sería esta mecánica.

Un saludo

PD: Lema básico de seguridad: valida toda entrada, filtra toda salida.

Esto es algo que desde siempre me ha preocupado, que un dia no interprete el php y lo envie tal cual como html; si alguien conoce algun articulo sobre consejos sobre esto se lo agradeceria

cuando el script falla, se interrumpe y devuelve el error si no se ha especificado que se oculte y sólo los fragmentos html, es imposible que te devuelva el código de php ya que este primero se traduce en memoria antes de ser interpretado, lo primero que hace es verificar los errores.

los puntos más graves de vulnerabilidad son:

magic_quotes e inyecciones SQL: prefiero no usar el magic_quotes dan mucho problema

inyecciones html / javascript: cuando no validas la presencia de un código javascript en un post de un foro por ejemplo

inyeccion de php: la más grave de todas, es cuando no validas bien un upload (de imágenes por ejemplo) permitiendo subir un fichero php que posteriormente el hacker pueda ejecutar.

robo de contraseña: si no implementas openSSL o algo similar en el logueo cualquiera puede filtrar la contraseña al iniciar sesión.

del resto php es tan seguro como los demás lenguajes de script, todos presentan en algún grado los mismos problemas.

Acabo de leer varios articulos que hablan de evitar la inyeccion SQL, y que seria suficiente con controlar la comilla simple ¿es cierto? ¿o tambien es bueno controlar la comilla doble o alguna otra cosa?

Por esto es recomendable tener todos los archivos del nucleo de la aplicación fuera del WebRoot, así si pasa eso ya no tienes un posible problema de seguridad.

Comilla simple y comilla dobles son dos cosas muy diferentes, no es lo mismo usar una simple que una doble... nada mejor que un ejemplo:

Las comillas simples no parsean el codigo, las dobles si.

Ahora, te recomendaria usar addslashes() para filtrar la info, o bien... htmlentities() de esta manera no podrian insertar ningun codigo 'malicioso'

Claro, esto no es aplica en el caso de que no filtres los archivos subidos por medio de un uploade de imagenes, o lo que sea.

las comillas simples son las que debes escapar porque la mayoria de los interpretes sql de las bases de datos los usan, si tu base de datos utiliza " en vez de ' (aunque dudo que exista) necesitarías escapar las comillas dobles.

posssssssssss ma que seguro : eso si todo depende de ti y los errores que cometas, si olvidas algo como usar --> mysql_real_escape_string
seguramente te haran un boquete del tamaño de la luna llena!! en tu web y te lo comento yo que ya estoy curando mi web ahora esta cuarto menguante

saludos