LinuxParty
NUESTRO SITIO necesita la publicidad para costear hosting y el dominio. Por favor considera deshabilitar tu AdBlock en nuestro sitio. También puedes hacernos una donación entrando en linuxparty.es, en la columna de la derecha.
Seguridad en una aplicación PHP requiere de medidas de seguridad tanto locales como remotas. Descubrá los hábitos de los desarrolladores de PHP que implementan en las aplicaciones con ambas características.
Cuando se trata de seguridad, recuerde que además de la plataforma actual y el sistema operativo, necesita asegurarse de que usted escribe aplicaciones seguras. Al escribir aplicaciones PHP, estos siete hábitos para la creación de aplicaciones le ayudaran a asegurarse de que sus aplicaciones son tan seguras como sea posible:
* Validar la entrada
* Proteja su sistema de archivos
* Proteja su base de datos
* Proteja su período de sesiones de datos
* Vigilar vulnerabilidades cross-site scripting (XSS)
* Verificar las entradas
* Protege contra Cross-Site Request Forgeries (CSRF)
La validación de los datos, es el más importantes de los hábitos que usted pueda adoptar en lo que se refiere a la seguridad. Y cuando se trata de entradas, es simple: No confíe en los usuarios. Sus usuarios son probablemente buenas personas, y la mayoría son susceptibles de utilizar la aplicación exactamente como usted desea. Sin embargo, siempre que hay oportunidad para la entrada, también hay oportunidad para que realmente, exista una mala entrada. Como un desarrollador de aplicaciones, usted debe proteger su solicitud de malas entradas. Sea cuidadoso teniendo en cuenta donde sus usuarios validan las entradas, permitiendo el acceso a una robusta aplicación segura.
Aunque el sistema de archivos y base de datos de interacción están cubiertas, hay consejos generales de validación que cubren todo tipo de validación:
* Utilizar los valores que figuran en la lista blanca
* Siempre revalidar selecciones limitadas.
* Usa built-in escape functions
* Validar y corregir los tipos de datos, como los números
Las listas blancas figuran los valores que son válidos, en lugar de listas negras que enumeran los valores que no son válidos. La distinción es que, a menudo cuando se realiza la validación, la lista o rango de valores posibles es menor que la lista de valores no válidos, muchos de los cuales puede ser desconocido o inesperado. (es decir, para validarse use sólo letras y números (lista blanca), en vez de "vale todo menos, $, %, ... (listas negras))
Cuando estás haciendo la validación, recuerde que a menudo es más fácil conceptualizar y validar lo que permite la aplicación, en lugar de tratar de evitar todos los valores desconocidos. Por ejemplo, a los valores límite en un campo a todos los números, escribir una rutina que se asegura la entrada de todos los números. No escriba la rutina de búsqueda de valores no-numéricos y marca como no válida si se encuentra alguna.
Proteja su sistema de archivos
En julio de 2000, un sitio Web filtro los datos de los clientes que se encontró en los archivos en un servidor Web. A los visitantes del sitio Web manipulaban la dirección URL para ver los archivos que contienen los datos. Aunque los archivos se han colocado por error, este ejemplo pone de relieve la importancia de proteger su sistema de archivos contra los atacantes.
Si su aplicación PHP trabaja con archivos de datos variables, que un usuario puede entrar, debe tener cuidado de que la entrada del usuario no pueda hacer nada con el sistema de archivos al que no pertenezca. Listado 1 muestra un ejemplo de una página PHP que descarga una imagen a un nombre.
(LISTADO EN IBM.COM)
Como puede ver, la secuencia de comandos relativamente peligrosa en el Listado 1 sirve cualquier archivo que hubiera en el servidor Web y tenga acceso de lectura, incluyendo los archivos de la sesión de directorio (ver "Guardia de la sesión de datos") e incluso algunos archivos del sistema tales como:
/ etc / passwdEste ejemplo tiene un cuadro de texto en el que el usuario puede escribir el nombre del archivo, por ejemplo, pero el nombre del archivo igualmente podría ser suministrado en la cadena de consulta.
La configuración de acceso al sistema de archivos junto con las aportaciones de los usuarios es peligroso, así lo mejor en el diseño de su aplicación será una base de datos oculta, junto con los nombres de los archivos generados. Sin embargo, esto no es siempre posible. Listado de 2 proporciona un ejemplo de una rutina que valida los nombres de los archivos. Que utiliza expresiones regulares para asegurarse de que sólo se usan caracteres válidos en el nombre del archivo y los controles específios para los caracteres punto-punto . . (los que te permiten cambiar de directorio)
Listado 2. Comprobación de nombre de archivo válido caracteres
(LISTADO EN IBM.COM)
Continúa en ibm.com
-
Programación
- El CEO de Nvidia dice que los niños no deberían aprender a programar
- 40 años de Turbo Pascal: recuerdos del dinosaurio codificador que revolucionó los IDE
- Los lenguajes de programación más populares y dónde aprenderlos.
- Top 5 de los principales lenguajes de programación para desarrollar aplicaciones de escritorio Linux
- Qt Creator 12 lanzado con complementos de grabación de pantalla y Explorador de compiladores
- 10 sitios web para practicar problemas de programación
- Rust en Linux: madurando con el soporte de Cisco, Samsung y Canonical
- Microsoft presenta GitHub Copilot para programadores de empresas
- Geany 2.0 el IDE para Linux más ligero y versatil, lanzado con grandes mejoras y soporte para Meson
- Cómo Instalar y Ejecutar Ghidra en Linux: Herramienta de análisis de Código Abierto
- Los mejores creadores de páginas web "Drag & Drop" para Joomla
- ¿Son los Scrums un cáncer?
- ¿Se puede medir la productividad del desarrollador de software?
- Qt Creator 11 IDE de código abierto agrega terminal integrado, compatibilidad con GitHub Copilot
- Textual: la biblioteca de Python para crear aplicaciones TUI y CLI, para Linux, Mac o Windows
Redes: |
 |
 |
 |
 |
Suscribete / Newsletter
El Top de LinuxParty
- Cambiar la Hora y la Fecha al sistema Linux
- Cómo configurar la tarjeta de Red Inalámbrica ( WiFi ) en Linux
- Manual para hackear una red wifi
- Cómo configurar el Modem USB o Tarjeta GPRS / 3G para Linux.
- 20 Comandos Netstat para Administradores de Redes Linux
- 29 Prácticos ejemplos de Nmap para Administradores de Sistemas / Redes
- Tutorial de C/C++, programar paso a paso, para Linux, Windows y Mac
- Exportar Bases de Datos de Access (MDB) a MySQL
- ERROR 1045: Access denied for user: 'root@localhost' (Using password: YES)
- 20 ejemplos iptables para administradores de sistemas Linux
- Cómo Montar tu Propio Wiki
- Cómo bloquear fotos e imágenes porno con SafeSquid, servidor proxy
- Introducción a los comandos SNMP, snmpwalk, snmpget, snmptranslate...
- Instalar Microsoft Office en Linux (con Wine)
- Cómo Crear una Base de Datos MySQL e inicializar los privilegios.
- Programar y depurar en un IDE para PHP con Eclipse, plugins PDT, xdebug y Remote debug
- 40 cosas que probablemente no sepas sobre Linux
- Sexo, Violencia, y Tensión en los Juegos.
- Renombrar multiples archivos masivamente en Linux (quitar espacios, cambiar mayúsculas) a la vez en Linux
- 15 Herramientas de la línea de comandos para supervisar el rendimiento de Linux
Donar a LinuxParty
Probablemente te niegues, pero.. ¿Podrías ayudarnos con una donación?
Tutorial de Linux
Últimos comentarios
- Buscar y reemplazar en Vim (1)
- En Italia ha caido un meteorito de más de 45.000 millones de años (2)
- Los mejores juegos de GNU/Linux – Una larga lista (1)
- Cómo configurar DRBD para replicar el almacenamiento en dos servidores CentOS 7 y 8 (1)
- Aprender a programar en Basic con QB64, La versión QuickBASIC para Linux, MacOS y Windows es la opción que las escuelas deberían escoger (2)
- Por qué Linux no triunfa en el Escritorio. (1)
- Configuración del servidor DNS en Linux (3)
- Los 27 mejores IDEs para programación C/C++ o editores de código de Linux (1)
- Q4OS hace que Linux sea fácil para todos (1)
- Cómo configurar un servidor de correo con Postfix y Dovecot para diferentes necesidades (9)