[ASLE] SEGURIDADES

José Miguel Parrella Romero jparrella en onuva.com
Lun Mayo 10 09:59:42 ECT 2010


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Jesus navarrete rivadeneira escribió:
> Estimados listeros, alguien me puede dar una manito para poner en mi
> aplicacion php seguridades de accesso para que no se pueda acceder con
> algun truco rompiedo las claves de seguridad.
> 
> comp por ejemplo utilizando user 'or''='  

Jesús,

Mis recomendaciones básicas serían las siguientes:

1. Valida toda la entrada que dependa del usuario del lado del servidor.
Puedes hacerlo si quieres del lado del cliente, pero toda medida del
lado del cliente puede ser removida. Siempre debe haber validación del
lado del servidor. Como hacerlo también del lado del cliente es repetir
el trabajo (a menos que uses un constructor de validaciones como el que
trae CGI::FormBuilder en Perl) normalmente recomiendo que se haga todo
el esfuerzo en mantener las validaciones en el servidor.

2. En el caso específico de incidencias básicas de SQL Injection, como
el típico uso de ' OR 1=1;-- en el campo de un formulario, es crítico
que del lado del servidor 'escapes' las comillas simples (esencialmente)
y para eso existen varias funciones en PHP, como:

  mysql_real_escape_string
  addslashes
  str_replace

La mejor documentación para tu caso particular está en:

  http://www.php.net/manual/es/security.database.sql-injection.php

Estas dos medidas pueden ayudarte a mitigar vectores de ataque XSS en tu
aplicación Web y en general son una práctica obligada. Estas medidas,
como todo en informática, también pueden estar mal implementadas y
agravar tu superficie de ataques. Un análisis de seguridad realizado por
un grupo de profesionales, asistidos por herramientas (muchas de ellas y
las más importantes, liberadas como software libre) de uso estándar en
la industria, es siempre una buena opción.

HTH,

- --
José Miguel Parrella Romero (bureado.com.ve)          PGP: 0×88D4B7DF
Debian Developer                                Caracas, VE/Quito, EC
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAkvoH10ACgkQYa7O2IA0rXI+oACePyy05J5h85nn6UI/k+2qBL/j
4SkAniEyzYTm9Cy6IW+VykcxpU8ID2i5
=dWnQ
-----END PGP SIGNATURE-----


More information about the Asociacion mailing list