Bienvenido(a), Visitante. Por favor, ingresa o regístrate.

Ingresar con nombre de usuario, contraseña y duración de la sesión

 
Búsqueda Avanzada

15.707 Mensajes en 3.130 Temas- por 371 Usuarios - Último usuario: lasfirrot
Mayo 22, 2012, 09:26:22
Foro de Hispabyte.netDiseño WebHosting y Desarrollo WebPHP (Moderador: D4MR0D)Tema: Seguridad con PHP
« anterior próximo »
Páginas: [1]   Ir Abajo
Imprimir
Autor Tema: Seguridad con PHP  (Leído 1094 veces)
0 Usuarios y 1 Visitante están viendo este tema.
[Sheer]
Aprendiz
**
Mensajes: 58


Ver Perfil WWW
« : Diciembre 01, 2005, 03:27:35 »

Hola.

Resulta que tengo pensado hacer cierto proyecto utilizando PHP + MySQL; me he puesto a pensar y hay algo que me gustar?a saber referente a la seguridad a la hora de conectarse a una base de datos.

Al establecer una conexi?n empleando PHP a una base de datos MySQL, escrib?mos en el c?digo el usuario y la contrase?a. Pues bien, quisiera saber que m?todo se suele utilizar para que estos datos no sean visibles a "simple vista" con solo bajarse el c?digo.

Gracias

Un saludo
« Última modificación: Diciembre 01, 2005, 03:28:02 por [Sheer] » En línea
NAT
Grupo_Moderadores
Experto
*
Mensajes: 415



Ver Perfil WWW
« Respuesta #1 : Diciembre 01, 2005, 05:41:58 »
?Te refieres al c?digo del servidor o al c?digo en cliente? Porque si te refieres al servidor, piensa que si se pueden bajar el c?digo tu site poco puedes esconder.

En php lo desconozco pero en ASP.NET 1.X y 2.0 puedes subir todo el c?digo en una DLL encriptada siendo imposible su descifrado utilizando la herramienta ildasm.exe o parecidas para ver el c?digo MSIL.

salu2.
« Última modificación: Diciembre 01, 2005, 05:45:36 por NAT » En línea
Para beber no hace falta divertirse... Giñar
NAT
Grupo_Moderadores
Experto
*
Mensajes: 415



Ver Perfil WWW
« Respuesta #2 : Diciembre 01, 2005, 05:47:21 »
Echa un vistazo a esta ppt

Salu2.
* Vulnerabilidades_de_Seguridad_en_Aplicaciones_Web.zip (468.36 KB - descargado 104 veces.)
En línea
Para beber no hace falta divertirse... Giñar
[Sheer]
Aprendiz
**
Mensajes: 58


Ver Perfil WWW
« Respuesta #3 : Diciembre 01, 2005, 06:11:53 »
Si utilizamos una aplicaci?n que descargue todos los ficheros de un sitio web, tendremos a nuestra disposici?n el c?digo PHP que contiene el login y password de la base de datos. A lo que yo me refiero es a como evitar que sea tan f?cil obtener esta informaci?n. No s? si me explico, digamos que es algo que quiero tener claro antes de empezar nada.

La presentaci?n est? bien, pero hace referencia a otros hechos o tecnolog?as en donde todav?a no he llegado, lo mio es algo m?s simple Lengua

Saludos

 
En línea
D4MR0D
Moderator
Miembro Imprescindible
*****
Mensajes: 1.069



Ver Perfil
« Respuesta #4 : Diciembre 01, 2005, 07:11:10 »
Citar
Si utilizamos una aplicaci?n que descargue todos los ficheros de un sitio web

Si te refieres a esos programas que sirven para bajarse webs completas, tranquilo, que s?lo bajan el html resultante y las im?genes, no los ficheros de la aplicaci?n que los genera. Tu c?digo no es visible, salvo que desconfigures el servidor web para que ofrezca los archivos php como texto plano.

Puedes usar las funciones cript?graficas de PHP y ofuscar el c?digo de las partes delicadas, pero no es una pr?ctica habitual, la aplicaci?n gasta m?s procesador, pierdes rendimiento, y como dec?a NAT, si se consigue acceso a tus ficheros en el servidor ya te da igual.
En línea
[Sheer]
Aprendiz
**
Mensajes: 58


Ver Perfil WWW
« Respuesta #5 : Diciembre 02, 2005, 01:43:11 »
Est? bien saberlo. En cuanto a ofuscar o encriptar, si se tiene acceso al c?digo est?s perdido de todos modos y adem?s comentas que pierde rendimiento, por lo que lo dejar? tal cual sin complicaciones :rolleyes:

Ahora tengo otra peque?a duda relacionada con el tema... Cuando nos registramos en un sitio web, se te suele pedir la direcci?n de correo para, posteriormente, enviarte una URL en la cual debes entrar para que tu registro se cumpla con ?xito. Lo que me gustar?a saber es como se suele hacer esto, es decir, que variables van adjuntas a la URL. Supongo que ser? la session_id la cual est? guardada en una tabla temporal junto al login, ?no?

A ver si alguien tiene idea de esto Lengua

Gracias y saludos!

 
En línea
D4MR0D
Moderator
Miembro Imprescindible
*****
Mensajes: 1.069



Ver Perfil
« Respuesta #6 : Diciembre 02, 2005, 02:56:28 »
Lo puedes hacer de mil maneras, pero no uses datos de sesi?n porque ?sta podr?a caducar antes de que el usuario pueda activar su cuenta.

Lo m?s f?cil es hacerse una tabla en la bd de usuarios pendientes, con dos campos, el id del usuario (el id en la base de datos de usuarios normal) y un numero aleatorio que habr?s creado para la ocasi?n. Mete esos dos datos en la URL de activaci?n y ya est?, cuando use la URL lo activas y lo borras de usuarios pendientes.
En línea
Tae
Visitante
« Respuesta #7 : Octubre 07, 2009, 05:55:18 »
No sé si será un problema que responda a mensajes antiguos, como sucede en otros foros, pero es que mi pregunta está tan relacionada con este tema que me parece redundante abrir otro hilo:

Cita de: D4MR0D en Diciembre 01, 2005, 07:11:10
Si te refieres a esos programas que sirven para bajarse webs completas, tranquilo, que s?lo bajan el html resultante y las im?genes, no los ficheros de la aplicaci?n que los genera. Tu c?digo no es visible, salvo que desconfigures el servidor web para que ofrezca los archivos php como texto plano.

Ahora mismo no tengo Linux disponible para hacer la prueba por mi misma Triste pero imagino que si conozco el nombre de un archivo sensible y su ubicación podría usar wget para descargarlo ¿no?

Lo cual me lleva a pensar que quizá fuece mejor meter ese tipo de archivos en un subirectorio y protegerlo mediante .htacces, o siguiendo con la paranoia, darles nombres poco convencionales... Por ejemplo, si la aplicación fuece pequeña y solicite el contenido a una base de datos, y por lo tanto los archivos PHP sean tan pocos que no valga la pena clasificarlos en subdirectorios.

A todo esto, me encontré con que Google indexa aquellos archivos en PHP que no escriben el HTML mediante echo o print, aún cuando el contenido dependa de parámetros enviados por la URL, así que escribí un robots.txt, pero me quedó la duda de si indexara los PHP con puro PHP, como un archivo de configuración. Por supuesto, eso sería tan inutil como indexar los CSS ¿no?
En línea
HQH
Administrator
Miembro Imprescindible
*****
Mensajes: 1.813



Ver Perfil
« Respuesta #8 : Octubre 07, 2009, 08:57:44 »
1) No es problema responder a temas antiguos siempre que el contenido sea interesante, tranqui Sonrisa

2) Si conoces un archivo sensible, puedes descargarlo con cualquier aplicacion destinada a ello, incluso un simple navegador. No hace falta tener Linux, ese problema es independiente del SO, depende de donde se aloje.

Logicamente los buscadores, no indexan el contenido PHP porque no pueden leerlo, ellos solo reciben la respuesta que les da el servidor, que suele ser el HTML generado.

Logicamente, si tienes archivos internos que no se deberian poder acceder (ejemplo: ficheros de cabecera de php que no deben accederse pero son usados por otros php como "includes"), es normal proteger su acceso, ya que aumenta el riesgo de fallo de seguridad.
En línea
Páginas: [1]   Ir Arriba
Imprimir
Foro de Hispabyte.netDiseño WebHosting y Desarrollo WebPHP (Moderador: D4MR0D)Tema: Seguridad con PHP « anterior próximo »
Ir a:  


Tema diseñado por RJ-45 para Hispabyte.net basado en el
theme famouspadexx v.09 designed by Formado Comprido
Downloable here. My present to padexx.de