Foros del Web » Programando para Internet » PHP »

[SOLUCIONADO] Duda seguridad PHP

Estas en el tema de Duda seguridad PHP en el foro de PHP en Foros del Web. Hola buenas, ante todo gracias por su atención y espero que puedan resolver esta duda que tengo desde hace un par de días. Mediante un ...
  #1 (permalink)  
Antiguo 02/08/2014, 16:51
Avatar de AitorDB  
Fecha de Ingreso: agosto-2014
Ubicación: Cádiz, España
Mensajes: 52
Antigüedad: 10 años, 3 meses
Puntos: 5
Pregunta Duda seguridad PHP

Hola buenas, ante todo gracias por su atención y espero que puedan resolver esta duda que tengo desde hace un par de días.

Mediante un código PHP hago conexión con una base de datos MySQL para consultar datos, la duda es si es seguro como adjunto en el código de abajo escribir los datos de acceso a esta base de datos "a secas", y si hay alguna forma de no dejarlo tan simple ya que cualquiera que consiga acceso al FTP podría leer estos archivos y cualquiera que consiguiera acceder al código fuente aunque ya sería más complejo.

He estado consultando y según tengo entendido MD5 y sha1 no son muy seguros y cualquiera podría desencriptar las cadenas de texto, sería mejor utilizar blowfish, pero el servidor no lo soporta.

Adjunto código:

Código:
		
<?php
	//Variables para acceso a la base de datos
	$server="SERVIDOR";
	$database = "BBDD";
	$db_user = "USUARIO";
	$db_pass = "CONTRASEÑA";
			
	// Conexión con el servidor	y la base de datos
	$conexion = mysql_connect($server, $db_user, $db_pass);
	if (!$conexion) {
		die('No se pudo conectar: ' . mysql_error());
	}
	mysql_select_db($database,$conexion);
			
	//Realizamos la consulta a la base de datos y en caso de error nos lo indica
	$resultado = mysql_query("SELECT campo1, campo2 FROM Tabla",$conexion) or die(mysql_error());
?>
  #2 (permalink)  
Antiguo 02/08/2014, 17:24
Avatar de bookmaster  
Fecha de Ingreso: febrero-2002
Ubicación: Toledo
Mensajes: 976
Antigüedad: 22 años, 9 meses
Puntos: 67
Respuesta: Duda seguridad PHP

De primeras empieza a usar MySQLi o PDO (preferiblemente esta última) para las consultas a la base de datos, en el primer post de este subforo tienes el porque.

Para darle seguridad a las consultas lo que tienes es que "filtrar" cualquier dato que recibas por medio de POST o GET, y que se vaya a usar contra la base de datos por medio de WHERE.

En principio para las consultas "fijas" como la que muestras no debería de haber problemas, y otro consejo todas las consultas que hagas a la base de datos ponle el ";" al final, ya que con eso evitarías que se pudiera poner algo a continuación.
__________________
Decir si te a funcionado la respuesta es ¡GRATIS!. Por favor indicarlo.
http://www.lohacemosweb.net
http://tutoriales.lohacemosweb.net
  #3 (permalink)  
Antiguo 02/08/2014, 17:30
Avatar de AitorDB  
Fecha de Ingreso: agosto-2014
Ubicación: Cádiz, España
Mensajes: 52
Antigüedad: 10 años, 3 meses
Puntos: 5
Respuesta: Duda seguridad PHP

De acuerdo, entonces puedo acceder a una base de datos MySQL mediante PDO ¿no? y con lo del ";" ¿te refieres a ponerlo dentro de las comillas o después? Como puedes observar estoy algo verde en este tema, muchas gracias por tu atención y ayuda.
  #4 (permalink)  
Antiguo 02/08/2014, 17:32
Avatar de bookmaster  
Fecha de Ingreso: febrero-2002
Ubicación: Toledo
Mensajes: 976
Antigüedad: 22 años, 9 meses
Puntos: 67
Respuesta: Duda seguridad PHP

Al final de la consulta, fíjate que te lo e marcado en rojo.
"SELECT campo1, campo2 FROM Tabla;"

Por cierto en la página 2 del post que te marque al principio hay unos enlaces que te indicaran como realizar las consultas con PDO.
__________________
Decir si te a funcionado la respuesta es ¡GRATIS!. Por favor indicarlo.
http://www.lohacemosweb.net
http://tutoriales.lohacemosweb.net
  #5 (permalink)  
Antiguo 02/08/2014, 17:35
Avatar de AitorDB  
Fecha de Ingreso: agosto-2014
Ubicación: Cádiz, España
Mensajes: 52
Antigüedad: 10 años, 3 meses
Puntos: 5
Respuesta: Duda seguridad PHP

Gracias de nuevo, lo tendré en cuenta :)

PD: Y con respecto a lo de dejar los datos "ahí, en medio" ¿alguna solución posible? no me hace mucha gracia la verdad.
  #6 (permalink)  
Antiguo 02/08/2014, 17:38
Avatar de bookmaster  
Fecha de Ingreso: febrero-2002
Ubicación: Toledo
Mensajes: 976
Antigüedad: 22 años, 9 meses
Puntos: 67
Respuesta: Duda seguridad PHP

Lo que se suele hacer es crear un archivo de configuracion aparte y la conexión por otro lado, pero la ventaja que tiene PHP es que al ser del lado del servidor a no ser que tengas algún agujero de seguridad (algún panel de administración que permita ver archivos, acceso fácil al FTP..) no podrán ver las contraseñas, a no ser que las muestres.
Sino cualquier página web estaría vendida y no tendría sentido seguir programando en PHP.
__________________
Decir si te a funcionado la respuesta es ¡GRATIS!. Por favor indicarlo.
http://www.lohacemosweb.net
http://tutoriales.lohacemosweb.net
  #7 (permalink)  
Antiguo 02/08/2014, 17:41
Avatar de AitorDB  
Fecha de Ingreso: agosto-2014
Ubicación: Cádiz, España
Mensajes: 52
Antigüedad: 10 años, 3 meses
Puntos: 5
Respuesta: Duda seguridad PHP

Vale, entonces sin problemas, haré lo que comentas de un archivo de configuración aparte, muchas gracias por todo :D

Etiquetas: contraseñas, encriptar, seguridad, seguridad+php
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 08:42.