¿Seguridad con php y base de datos?

wesos · #1 (**permalink**) 28/10/2012, 02:42

He estado dandole vueltas a esta pregunta por verguenza pero a riesgo de que se rian, quiero plantearla.
Pregunto si es segura mi forma de programar o debo cambiarla para que no entren personas en mi bd sin autorizacion o dañen mi sitio.

Tipo1:
Tengo un form.html que envia datos y variables post y get a una pagina consulta.php.

Duda:
¿Puede alguien crearse una web en su site de forma que envie la misma informacion a mi pagina consulta.php?

Tipo2:
Recibo de un form de otra web y creo sesion en una php.

Código PHP:

  session_start();

$_SESSION['asunto'] = $_POST["asunto"];
$_SESSION['pass'] = $_POST["pass"];

Y en el resto de webs tengo

Código PHP:

  session_start();

$_SESSION['asunto'];
$_SESSION['pass'];

Duda:
Alguien puede interceptar esos valores que manejo en todas las paginas?

Tipo3:
¿Alguien puede ver este codigo de mi web php?

Código PHP:

  $link = mysql_connect("ejemploip", "ejemplouser", "ejemplopass");
mysql_select_db("ejemplobd",$link);

Duda:
¿Seria mas recomendable enviar las variables a esa web y escribir?:

Código PHP:

  $link = mysql_connect($variableip, $variableuser, $variablepass);
mysql_select_db($variablebd,$link);

Tipo4:
Al registrar un cliente en mi db, guardo su nombre y pass en la bd y claro yo puedo verlas. ¿Eso pasa con todas las paginas webs del mundo? ¿Hay alguna forma de que el cliente al guardar sus datos mas personales yo no pueda verlos por privacidad?

Creo que eso es por ahora..
A esperas de vuestras respuesta, pregunto:
¿Existen webs gratuitas que comprueben la vulnerabilidad de mi sitio de forma eficaz y fiable?

Nemutagk · #2 (**permalink**) 28/10/2012, 04:41

Cita:

Tipo1:
Tengo un form.html que envia datos y variables post y get a una pagina consulta.php.

Duda:
¿Puede alguien crearse una web en su site de forma que envie la misma informacion a mi pagina consulta.php?

Claro, cualquiera puede desde un sitio externo enviar variables GET/POST a tu script eh inyectar valores a este....

Cita:

Tipo2:
Recibo de un form de otra web y creo sesion en una php.
Código PHP:
session_start();

$_SESSION['asunto'] = $_POST["asunto"];
$_SESSION['pass'] = $_POST["pass"];
Y en el resto de webs tengo
Código PHP:
session_start();

$_SESSION['asunto'];
$_SESSION['pass'];

No tiene ninguna utilidad el ultimo código, no entiendo que pretendes hacer....

Cita:

Tipo3:
¿Alguien puede ver este codigo de mi web php?
Código PHP:
$link = mysql_connect("ejemploip", "ejemplouser", "ejemplopass");
mysql_select_db("ejemplobd",$link);

La unica forma de ver el código es entrar al servidor y descargar el archivo PHP sin procesar, de otra forma es imposible...

Cita:

Duda:
¿Seria mas recomendable enviar las variables a esa web y escribir?:
Código PHP:
$link = mysql_connect($variableip, $variableuser, $variablepass);
mysql_select_db($variablebd,$link);

Por supuesto que no, a menos que así lo requiera el sitio (y tomar las medida pertinentes) es lo peor que puedas hacer....

Cita:

Tipo4:
Al registrar un cliente en mi db, guardo su nombre y pass en la bd y claro yo puedo verlas. ¿Eso pasa con todas las paginas webs del mundo? ¿Hay alguna forma de que el cliente al guardar sus datos mas personales yo no pueda verlos por privacidad?

Para ese caso es necesario encriptar o por lo menos "hashear" la contraseña...

Cita:

¿Existen webs gratuitas que comprueben la vulnerabilidad de mi sitio de forma eficaz y fiable?

Ni idea, la seguridad de mis sitios web están conforme a una lista de puntos que tengo en cuenta mientras programo, por ejemplo, siempre sanear variables externas al sitio (GET/POST/COOKIES), dejar fuera del acceso web a archivos críticos, entre otras cosas...

cuasatar · #3 (**permalink**) 28/10/2012, 10:11

te recomiendo que sigas esta guía básica de triby para mejorar la seguridad de tu sitio.

http://www.forosdelweb.com/f18/aport...a-php-1011808/

Como el mismo lo aclara no existe sistema 100% seguro pero te ayudara a mejorar mucho tu web.