Seguridad

grito · #1 (**permalink**) 22/11/2010, 11:31

Hola buenas, ya tengo mi pequeña página hecha.
Y me gustaría saber que hacer para darle seguridad.
Tengo algunos ejemplos/casos que no se si estoy en lo cierto o no.

En cada uno de mis archivos php se inicia con include (config.php)
Y config tiene las variables

Código PHP:

$dbhost="XXX"; //Host del mysql $dbuser="XXX"; //Usuario del mysql $dbpass="XXX"; //Password del mysql $db="XXX";

Si alguien se descarga ese archivo php tendría esos datos, pueden hacer algo con él?
Cuando accedo a la BD con consultas y demás. Si alguien ve mi código fuente podrá ver la estruturas de las tablas. Es malo?
No se como hacer un registro de usuarios en el cuál no pueden registrarse indiscriminadamente. Supongo que con el envio de mail con una clave.

Y otros casos similares.
En fin, que haceis vosotros para mejorar la seguridad? Si sabeis de alguna página o árticulo que traten sobre esto me lo podría facilitar?

Gracias

pochos · #2 (**permalink**) 22/11/2010, 11:41

php es lenguaje del lado del servidor, osea que se ejecuta en el servidor y no se muestra en el explorador, nadie puede ver tu codigo php salvo que tenga acceso a tu servidor. preocupate mas que nada por otras medidas de seguridad como ser sql injection o ataques xss

maycolalvarez · #3 (**permalink**) 22/11/2010, 13:07

exactamente como te indica @pochos, cuando un archivo php es llamado desde el servidor, éste se procesa por php y es imposible devolver el código.

los puntos de seguridad que debes atender son:
-cambiar la clave del FTP periódicamente, y evitar contraseñas del tipo "dios", "love" o "1234", para un cracker es obvio!!!
-en lo posible que el servidor de bases de datos permita solo acceso desde localhost
-sql inyection
-XSS (Cross Site Scripting)
-CSRF (Cross Site Request Forgery)
-utilizar CAPTCHAS cuando sea necesario

suerte