Tema de seguridad con php formularios, bd, etc.

emmx2012 · #1 (**permalink**) 24/08/2014, 11:37

Hola, soy novato en esto de programar y estoy haciendo un sitio web importante, por eso queria pedirles algunos consejos en cuanto a la seguridad del sitio web, como por ej, cuando paso el valor de una variable por URL (<a href=ksjncsd.php?var=dscs>) si es q se lo puede ocultar o no importa, y q otras cosas me pueden recomendar por lo de las inyecciones SQL, o algun enlace o algo q me recomienden leer para aprender de èsto. Tips para hacer mas seguro el sitio. ;) Muchas gracias

NSD · #2 (**permalink**) 24/08/2014, 11:56

El problema de la inyeccion sql se soluciona bindeando parametros, para eso es la funcion bind_param.

Los datos de seguridad como contraseñas, respuestas de preguntas de recuperacion y demas, se guardan con hashing.

No confies en nada que venga del navegador, y no confies en ninguna validacion de javascript.

PHP debe verificar todo y debe ser capaz de informar al usuario de cada error. javascript solo sirve para hacer mas amigable la experiencia del usuario, pero no confies en ningun dato que venga de el.

Podrias encriptar y desencriptar los paramentros que pasas como proteccion adicional.

Asegurate de que tu sitio tenga un certificdo ssl (para usar el protocolo https) con lo cual estas mas protegido contra ataques externos ya que toda la comunicacion va encriptada.

Te recomiendo leer este tema iniciado por @triby hace unos años, si bien hay cosas que se actualizaron en este tiempo, la gran mayoria aun son validas hoy en dia asi que como para empezar ahi tienes de sobra.

Saludos.

emmx2012 · #3 (**permalink**) 24/08/2014, 12:08

Te lo agradezco mucho amigo!

brimo300 · #4 (**permalink**) 25/08/2014, 06:32

Para evitar una injeccion SQL yo utilizo esta función para escapar los nombres propios de SQL

Código PHP:

  $variable1=     filter_input(INPUT_POST, "formulario");

// devuelve una cadena escapada de algunos caracteres que
// pudieran servir para un ataque de sql injection

function injection($cadena) {
    $str_KeywordsSQL = array("select ","insert ","delete ","update ","union ");
    $str_OperadoresSQL     = array("like ","and ","or ","not ","<",">","<>","=","<");
    $str_DelimitadoresSQL     = array(";","(",")","'");
     
//Quitar palabras reservadas y operadores
for($i=0; $i<count($str_KeywordsSQL); $i++) {
    $cadena = str_replace($str_KeywordsSQL[$i], "",strtolower($cadena) );
            }
            for($i=0; $i<count($str_OperadoresSQL); $i++) {
                $cadena = str_replace($str_OperadoresSQL[$i], "",strtolower($cadena) );
            }
            for($i=0; $i<count($str_DelimitadoresSQL); $i++) {
                $cadena = str_replace($str_DelimitadoresSQL[$i], "",strtolower($cadena) );
            }
     
            return $cadena;
        }
 
//Escapar las cadenas para avitar SQL Injection
$variable1= injection($variable1);