seguridad en formulario

Hola,

Cual es la mejor manera de filtrar un formulario y hacerlo seguro contra posibles ataques o inyecciones sql??

Tengo un formulario para que los visitantes agreguen comentarios a los articulos publicados, dicho formulario consta de 3 campos: nombre, email y mensaje.

Para evitar que ingresen codigo html uso htmlentities() .

Para los que saben mas, cual es la mejor manera de evitar OTROS malos usos??? algun otro metodo de filtrar la cadena ingresada por los usuarios para evitar otras cosas??

No se si me explico bien


Saludos

mmm.... la primer sugerencia, investiga realmente que es un ataque de SQL Injection y XSS, analiza bien el panorama y saca tus propias conclusiones...

algunas funciones que te escribas, como is_email, is_nick ... usa expresiones regulares...

usa strip_tags, is_numeric, etc, entidades, es mas... lo mejor es validar cada dato, has visto la clase input filter de PHP ???

Bueno, el concepto es mas bien general... se aplica a todos los lenguajes y aplicaciones en general.


Para php:
1. Configurar el archivo .htaccess(tambien con expresiones regulares) para impedir acceso a ciertos directorios, o limitar los archivos disponibles o visibles al visitante, o que alguien pueda extrar informacion u archivos desde tu sitio y publicarlo en el suyo.
2. Usar un algoritmo de encripcion para los datos de conexion a la BD, cuesntas de usuario... Principalmente tipos semilla.
3. Aplicar tecnicas de seguridad por oscuridad(Puede dificultar la tarea de atacantes novatos), una forma es usar un archivo index.html en blanco en todas las carpetas.
4. Inyeccion SQL(eregi): Validar el ingreso de caracteres como comillas sencillas, Dobles, intrucciones sql, =>,<=,==,+,-... en campos de Login, busqueda, registro, tec-Para esto se puede aplicar una regla con expresiones regulares... Finalmente terminas creando una clase de validacion para cada cosa...Email, url's, telf, Sistemas de Logeo...
5. En tus formularios, en vez del conocido y molesto captacha, puedes usar un campo oculto con un codigo de identificacion... Asi luego validas si realmente es un usuario el que intenta entrar en la maquina, ya que los robots ingresan datos en todos los campos una y otra vez, incrementando el nivel de trabajo de tu sistema y la base de datos.
6. Habilitar el modo seguro(safe mode), en la configuracion del servidor, esto puede evitar los ataques de tipo inclusion(Un atacante puede efectuar un script remoto si verifica que el servidor permite ejecutar o cargar otros sitios como parametros).
7. En lo posible, utilizar el metodo POST para el intercamio de informacion entre las paginas.
8. Asignar a las tablas y carpetas nombres poco intuitivos...Un caso: No crear una carpeta config y en su interior almacenar el archivo de conexion a la base de datos, evitar tablas con nombre: usuarios.
9. Efectuar control de usuarios tanto en cache del servidor, como la cookie del cliente... asi como la comprobacion de usuarios activos.
10. Validar por medio de paginas de error las anomalias del sistema, y no darle la libertad de presentar errores tecnicos al usuario.

mira esta pagina http://pixybox.seclab.tuwien.ac.at/pixy/index.php ahi puedes realizarle un test a tus paginas web para detectar los mas conocidos ataques.

tambien puedes descargar la utilidad para mejorar el test.

Muchas gracias por su información... me ha ayudado bastante para entender el concepto y saber por donde comenzar y que cosas hacer,e informacion a buscar para aprender mas.

Gracias por su ayuda.