Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

7 habitos para escribir aplicaciones seguras en PHP

Cuando se empieza a tomar en cuenta la seguridad, hay que recordar que en adicion a la plataforma de desarrollo y a los problemas de seguridad del sistema operativo, es necesario garantizar que se esta escribiendo codigo seguro. IBM por medio de la sección DeveloperWorks publica 7 buenos habitos que, cuando se escribe codigo PHP, tenerlos en cuenta hace que las aplicaciones sean aun mas seguras:

  1. Validar las entradas del usuario. Es posiblemente el habito mas importante que se pueda adoptar cuando se comienza a considerar la seguridad. Las vulnerabilidades mas importantes se derivan del exceso de confianza en los datos que introduce el usuario.
  • Proteger el sistema de archivos. El efecto que podria llegar a tener el robo de un archivo de sistema podria llegar a impactar no solo a la aplicacion, sino tambien al sistema operativo y al servidor en general.
  • Proteger la Base de Datos. La informacion es el activo mas importante que protege la empresa, generalmente las aplicaciones administrativas manejan datos bastante sensibles que se manejan con mucho recelo.
  • Proteger los datos de sesion. Toda informacion almacenada en la sesion es susceptible de ser visualizada por cualquiera. Tienes dos alternativas: cifrar los datos, lo que no garantiza por completo su privacidad si es un metodo reversible y/o almacenarlos en Base de datos.
  • Protegerse contra las vulnerabilidades de tipo Cross-Site Scripting (XSS). Esta vulnerabilidad esta relacionada con el primer habito recomendado, pero ademas de protegerte de la informacion que aceptas en tu aplicacion, tambien hay que cuidar la informacion que se sale de la misma, principalmente para no incluir codigo que se ejecute/interprete indebidamente del lado del cliente.
  • Verificar el intercambio de informacion (posts) entre formas. Ya que la conexion entre el cliente y el servidor no es persistente, debe hacerse una comprobacion del 'remitente' de los datos, ya que pudieron haber sido enviados desde cualquier forma sin haber pasado por las validaciones esperadas.
  • Protegerse contra ataques Cross-Site Request Forgeries (CSRF). Este tipo de ataque se basa en la ganancia de privilegios mayores de los debidos por medio de expolits.

Seas un programador novato o ya experimentado, considerar estos habitos sin duda te llevará a conseguir aplicaciones que manejen de una forma mas segura la informacion. Una descripcion mucho mas completa de cada uno de estos puntos asi como código fuente que puedes implementar para cumplir con estas sugerencias en la fuente original, recomiendo ampliamente visitarla.

Sé feliz, vive seguro.

Fuente: Desarrollo y Demas Cosas


Atención: Salvo que se indique lo contrario, la licencia del texto de este documento es Creative Commons Reconocimiento 2.5, mediante la cual usted tiene permitido copiar, modificar, comunicar y distribuir el contenido de este texto, de manera total o parcial, y publicarlo o difundirlo en cualquier otro sitio de Internet o medio de comunicaciòn, siempre y cuando incluya o cite (1)el nombre de este sitio de Internet, (2)enlace permanente de este documento, (3)nombre del autor y (4)la misma licencia de distribución.

Opciones: Imprimir | Recomendar | Enlace permanente

Twitter Facebook Google Bookmarks Bitacoras.com Wikio Menéame Technorati Bloglines Digg Yahoo Buzz

Seguimientos (Trackback)

URL de seguimiento para esta entrada:
http://www.alcancelibre.org/trackback.php/20081017003348838
Agregar comentario

Los siguientes comentarios son de la persona que los haya enviado. Este sitio se deslinda de cualquier responsabilidad respecto de las opiniones expresadas por los participantes en nuestros foros y secciones de comentarios, y el hecho de publicar las mismas no significa que se esté de acuerdo con éstas.