Regresar a la página www.ComoCrearTuWeb.com
Página 2 de 4 PrimerPrimer 1234 ÚltimoÚltimo
Resultados 16 al 30 de 57

Tema: Seguridad en el uso del PHP y Bases de Datos

  1. #16
    Me va gustando esto... Habitante
    Fecha de Ingreso
    31 may, 10
    Ubicación
    Madrid, España
    Mensajes
    242
    Poder de Reputación
    12
    Me queda una duda:

    En la raid tengo un index.html, que es la pagina de inicio, y sin embargo aqui se habla de pone un index.html vacio, si cambio el index.html que tengo a index.php, el usuario al entrar en la pagina se le abrira el index.html, no?

    En ese index.html se le puede redireccionar a index.php, seria seguro?

    Gracias

    Un saludo

  2. #17
    Esto empieza a ser un vicio... Habitante
    Fecha de Ingreso
    28 jun, 08
    Mensajes
    499
    Poder de Reputación
    16
    El index.html vacio del que se abla, es solo si tu raiz del sitio y/o cualquier directorio no contiene un index.html o index.php.

  3. #18
    Me va gustando esto... Habitante
    Fecha de Ingreso
    23 mar, 11
    Ubicación
    Cali, Colombia
    Mensajes
    68
    Poder de Reputación
    10
    Cita Iniciado por Jeyn Ver Mensaje
    Me queda una duda:

    En la raid tengo un index.html, que es la pagina de inicio, y sin embargo aqui se habla de pone un index.html vacio, si cambio el index.html que tengo a index.php, el usuario al entrar en la pagina se le abrira el index.html, no?

    En ese index.html se le puede redireccionar a index.php, seria seguro?

    Gracias

    Un saludo
    Supongamos que tienes una carpeta donde tienes toooodas las imágenes de tu web ¿no?. Te ha costado mucho trabajo diseñarlas etc.. y no quieres que NADIE entre a ese directorio por medio de http://www.tuweb.com/imagenes ya que por este medio vería todas y las podría descargar sin ningún problema, pues para ello crear un index.html vacío para que dicha persona cuando escriba http://www.tuweb.com/imagenes se encuentre con una página en blanco. Este mismo ejemplo es aplicable a demás carpetas y archivos.
    Pienso, comparto, aprendo, luego creo

  4. #19
    Esto empieza a ser un vicio... Habitante Avatar de codomodragon
    Fecha de Ingreso
    11 nov, 09
    Ubicación
    Venezuela
    Mensajes
    1,281
    Poder de Reputación
    18
    Amigo para complementar, solo debes crear el index.html en las carpetas que partan del root(la zona principal de la web)
    O en otras palabras si tienes esto en tu host.

    index.php
    estilo.css
    objetos
    galerias
    comentarios
    otrascosas

    Las carpetas objetos, galerias, comentarios, y otrascosas deberían tener adentro un index.html en blanco por seguridad, y en donde esta index.php no colocar nada, ya que reconocerá como pagina de inicio el index.php.
    OMG WTF BBQ
    Disculpen cualquier error o metidota de pata, la universidad me tiene loco y candado.

    www.mangasve.com.ve el lugar venezolano del manga

    http://www.rauch.cl/cctw.jpg

  5. #20
    Me va gustando esto... Habitante
    Fecha de Ingreso
    31 may, 10
    Ubicación
    Madrid, España
    Mensajes
    242
    Poder de Reputación
    12
    Ok, muchas gracias

    Con poner el index.html en las carpetas, restringir las variables $_POST como se ha anunciado al principio y generando la pagina de error 404, ya seria mas o menos fiable la seguridad?

    Aun que supongo que eso sera como todo, aunque valiese de momento siempre iran cabiando y avanzando las cosas tanto por los hakers como por los webmaster. no?

    Lo pregnto por que yo estoy termiando una pagina que quiero subir, y la voy probando en un servidor gratuito, que no me va mal, pero he visto que si a entrado alguien(Eso si no tenia ni los index, ni restringidas las $_POST), es un registro lo que esto probando ahora y en la base de datos aun que tengo puesto en el form que los campos sean obligatorios, no los habian rellenado, solo el usuario el password y el email, pero en los tres campos ponia virus, cuando el email lo tengo que sea abligatorio y email, lo valide asi en dreanweaver. No entiendo como podia poner solo virus. sin @ ni dominio.

    Ya si e puesto los index y e restringido las variables, ahora me falta generar la pagina 404 esa, a ver si doy con ello.

    La verdad es que yo es lo primero que hago y hece menos de un año no tenia ni idea de nada, hice el curso paso a paso y de ahi me empezo a picar la curisidad.

    Gracias.

    Un saludo

    Un saludo

  6. #21
    Me va gustando esto... Habitante
    Fecha de Ingreso
    23 mar, 11
    Ubicación
    Cali, Colombia
    Mensajes
    68
    Poder de Reputación
    10
    Claro Jeyn, las medidas de seguridad que damos aquí son muy superficiales, siempre le puedes complicar más la vida a los Crackers y Hackers maliciosos de causarte algún problema.

    Supongo que con restringir las variables $_GET y $_POST te refieres a limpiar dichas variables de código malicioso antes de ser guardadas en tu BBDD ¿no? si es así, has captado la esencia de este tema :)
    Pienso, comparto, aprendo, luego creo

  7. #22
    Me va gustando esto... Habitante
    Fecha de Ingreso
    31 may, 10
    Ubicación
    Madrid, España
    Mensajes
    242
    Poder de Reputación
    12
    Vamos a ver que ya me lio

    Yo le he puesto como se a indicado al principio a las $_POST cuando las recojo en registro.php, de un formulario.html
    form action "registro.php" en el registro.php en vez de recuperar los datos directamente de $_POST[usuario] he puesto $user,que lo ehe recogido en la vaiable asi:
    $user = htmlspecialchars($_POST['username']);
    No guardo la variable en la BBDD, y asi la recojo en las paginas que la necesito, eso si lo tengo qeu hacer en toas las paginas que llame a la variable, pero bueno eso ya esta.
    Igual soy un poco torpe, pero es como me he enterado. Ha! y si me funciona eso si que no se que nivel de seguridad puede dar.
    Me gustaria que me entendierais, es mi primera pagina y no se muy bien por donde ando, igual me he metido en mas de lo que debo.

    Gracias

  8. #23
    Me va gustando esto... Habitante
    Fecha de Ingreso
    31 may, 10
    Ubicación
    Madrid, España
    Mensajes
    242
    Poder de Reputación
    12
    he estado mirando lo del enlace que me as puesto y entonces debo de poner los tres codigos para cada variable,
    supongo que $variable en el caso de antes seria $user, es que como se repite tanto la $variable, por eso lo pregunto.

    Yo solo habia puesto

    $user = htmlspecialchars($_POST['username']);

    y deberia de ser

    $user = stripslashes($_POST['username']);
    $user = strip_tags($user);
    $user = htmlentities($user);

    No?

    Aunque aqui no aparece el htmlspecialchars.

    Es que se buscan unas palabrejas que ojo.

    Asi pasa que no me entero bien hasta qeu no me estrello.

    Gracias

  9. #24
    Esto empieza a ser un vicio... Habitante
    Fecha de Ingreso
    28 jun, 08
    Mensajes
    499
    Poder de Reputación
    16
    Cuando se trata de seguridad, alguna vez lei que hay que desconfiar de todo, y no creer que el usuario va ha seguir las intruciones al pie de la letra, si tu en un formulario pides un numero, al recoger la variable asegurate de que efectivamente sea un numero, si es un correo, asegurate que sea un correo, si es un nombre de usuario, asegurate que cumple con ciertas caracteristicas, todo eso se logra con validaciones, claro esta entre mas seguridad, mas robusta tu pagina y mas recursos consumira.

    Quizas para poder ayudarte mejor, deberias postear la url de prueba de tu web, asi los mas experimentados podrian testear tu web y darte consejos en cuanto ha seguridad.

    Aqui un ejemplo de validaciones en php: http://aportes.serverdns.us/ejemplo_validar.php

  10. #25
    Me va gustando esto... Habitante
    Fecha de Ingreso
    23 mar, 11
    Ubicación
    Cali, Colombia
    Mensajes
    68
    Poder de Reputación
    10
    Cita Iniciado por Jeyn Ver Mensaje
    he estado mirando lo del enlace que me as puesto y entonces debo de poner los tres codigos para cada variable,
    supongo que $variable en el caso de antes seria $user, es que como se repite tanto la $variable, por eso lo pregunto.

    Yo solo habia puesto
    Código PHP:
    $user htmlspecialchars($_POST['username']); 
    y deberia de ser
    Código PHP:
    $user stripslashes($_POST['username']);
    $user strip_tags($user);
    $user htmlentities($user); 
    No?

    Aunque aqui no aparece el htmlspecialchars.

    Es que se buscan unas palabrejas que ojo.

    Asi pasa que no me entero bien hasta qeu no me estrello.

    Gracias
    Si, perfecto, lo has entendido. Lo que vos ponés ($user = htmlspecialchars($_POST['username'])) también es correcto, es más, esa sería otra "regla" a poner para eliminar cualquier intento de inyección a la BBDD. Mírate también lo que dice nuestro compañero serverdns, su aporte es muy interesante y muy bueno. Y no te lies, yo hablaba de variables a guardar en BBDD, pero como te has dado cuenta, se puede ampliar a todas las variables que pretendes que el usuario te envíe.

    serverdns, me gustaría que por favor compartieras tu código con nosotros, estaría genial.
    Pienso, comparto, aprendo, luego creo

  11. #26
    Me va gustando esto... Habitante
    Fecha de Ingreso
    31 may, 10
    Ubicación
    Madrid, España
    Mensajes
    242
    Poder de Reputación
    12
    Ok, de todas formas si dejo el enlace aunque no esta la pagina, es solo el registro lo que estoy probando ahora, lo demas creo que me funciona bien y son paginas html para que visiten los usuarios, ahi no tengo formularios ni nada donde se puedan introducir datos, son paginas de lectura. como se aprende en el curso paso a paso.

    Hay no habra problema? digo yo.

    Bueno que me enrroyo al final.

    http://conductor.myartsonline.com/index.html

    Es un subdominio gratuito como ya creo que puse por ahi.

    Gracias

  12. #27
    Esto empieza a ser un vicio... Habitante
    Fecha de Ingreso
    28 jun, 08
    Mensajes
    499
    Poder de Reputación
    16
    he visto tu pagina, y creo que tienes muchos problemas en cuanto a la seguridad, parece ser que toda ella esta basada en javascript, la cual se puede burlar simplemente con deshabilitarlo.

    Te recomiendo lo siguiente:
    * Despues de limpiar tus variables de codigo malicioso, revisa que tus variable no esten vacias, por ejemplo supongamos que guardamos la edad de tu formulario en la variable $edad, entonces la procesamos:

    Código PHP:
    if($edad=='"") echo "La Variable Esta Vacia";

    if(empty($edad)) echo "La Variable Esta Vacia"; 
    * Si no Estan Vacias Las variables, que tu script continue ejecutandose, paso la primera prueba.
    * Despues comprueba si efectivamente el valor que lleva cada variable corresponde al indicado.

    Código PHP:
    if(empty($edad)) echo "La Variable Esta Vacia";
    if(
    is_numeric($edad) && !stristr($edad,".") && $edad>15 && $edad<100){
    echo 
    "Correcto Eres Mayor De 15 y Menor De 100";
    }else{
    echo 
    "Tu Edad No Es Correcta";

    Asi podrias emplear los mismos metodos para tus demas datos.

  13. #28
    Me va gustando esto... Habitante
    Fecha de Ingreso
    31 may, 10
    Ubicación
    Madrid, España
    Mensajes
    242
    Poder de Reputación
    12
    Gracias Áldaron

    Entonces serian 4 reglas por cada campo del form?

    He mirado lo de serverdns y esta muy bien pero yo ahi no llego.

    Yo lo hice con dreanweaver y en inspector de etiquetas/comportamientos es donde valide el form, si puse en numero que fuesen numeros y en email que fuese email, la edad la comprobe tambien, los campos obligatorios, pero eso no se si restringe el php o com dice codomodragon c++ lenguaje programacion. eso ya me supera con mucho, es esto y ya me cuesta entenderlo.

    Aun asi creo que he aprendido mucho, por que no tenia ni idea de nada.

    un saludo
    Última edición por Jeyn; 04/04/2011 a las 22:33

  14. #29
    Me va gustando esto... Habitante
    Fecha de Ingreso
    31 may, 10
    Ubicación
    Madrid, España
    Mensajes
    242
    Poder de Reputación
    12
    Lo he entendido, lo de java es lo que te da dreanweaver al validar.

    El ejemplo que me as puesto esta genial de verdad pero lo as puesto para edad, y es "is_numeric" pero para email no es un numero, ni texto y los nombres, ciudades, apellidos tampoco son numeros son textos. Perdona pero no se como seria.

    Lo siento.

    Gracias

  15. #30
    Me va gustando esto... Habitante
    Fecha de Ingreso
    31 may, 10
    Ubicación
    Madrid, España
    Mensajes
    242
    Poder de Reputación
    12
    Ya lo e mirado y no as dejado rastro de nombre, ni password, ni email, es lo que me paso el otro dia como e comentado, el otro dia si dejaron el nombre el pasword y el email, pero en los tres campos ponia virus y en el email igual sin @ ni domino, yo lo que mas temo es que accedan ala base de datos, y si se van registrando usuarios que los borren o algo asi, si se registran mal tambien tengo a posibilidad e bloquearlos, tu un ejemplo no as dejado rastro pero si se a quedado tu ip, por la ip tambien lo puedo bloquear, a no ser uqe accedan a la dase de datos y a la tabla y se borren los datos.

    Gracias

    Un saludo

Temas Similares

  1. Bases de datos
    Por apolo en el foro Php Bases de Datos y MySQL (Nuevo!)
    Respuestas: 4
    Último Mensaje: 18/11/2010, 04:12
  2. Consulta - Varias bases de datos
    Por nosabernada en el foro Php Bases de Datos y MySQL (Nuevo!)
    Respuestas: 5
    Último Mensaje: 21/04/2009, 16:38

Permisos de Publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •