Recuperar con PHP variables pasadas por URL y formularios de forma segura

-

Comunmente se utiliza el paso de paramétros por url para
realizar búsquedas en bases de datos o para pasar información
relacionada con las preferencias de un usuario de una página a
otra por medio de expresiones como esta

script.php?id=2&tema=1...

si nuestro php.ini tiene configurado register_globals
= Off

deberia accederse a las variables pasadas con superglobales
$_GET['id'] o $_GET['tema'] que igualmente no deja de ser
inseguro sin los filtros adecuados

pero una aplicación que no tenga los filtros adecuados y con
php.ini seteado con

register_globals = On el problema aun es
mayor ya que una acción directa del tipo

script.php?id=2&tema=1&crack=loquesea...

puede comprometer todo el sistema, sobre todo si no se realiza
ninguna comprobación previa de lo que es ingresado.

siguiendo el ejemplo anterior ¿que pasaria además si alguien
colocara un apóstrofe y forzara algún tipo de consulta SQL?
este tipo de ataque es conocido como "inyección sql".
o ejecutar una acción directa en el servidor? directamente un
acceso al shell de tu server.

Hay muchos proveedores de hosting que traen por defecto la
configuración más segura para PHP, pero nunca hay que fiarse de
esto, y recordar que el arte de programar es anticipar posibles
acciones si... para ello bien dice el refrán "mejor
prevenir que curar" y parsear todo lo que ingresan a nuestra
aplicación,

Hay funciones incorporadas en PHP que manejan el filtrado de
los datos antes de procesarlos pero no los voy a tratar aqui solo
mostraré una forma de filtrar todo lo que ingrese desde el
"exterior" de nuestra aplicación con una función
propia

este código no es la panacea a todos los males de seguridad
pero es un pequeño aporte para desarrollar futuras aplicaciónes
más robustas

explicación

Mediante un bucle foreach iteramos las
posibles variables ingresadas desde el "exterior" a
través de POST, GET o COOKIES
y expresión regular mediante filtramos todo los
caracteres que pueden comprometer la seguridad de nuestra
aplicación mostrando un mensaje de error y cortando la
ejecución si hay algo extraño.

<?php
foreach ($_REQUEST as $key=>$value) {if (eregi("[\'\/*%,\<\>=]",$value)){die('Intento de ataque!');}}
?>

Comentarios

Publicar un comentario

Dejanos tu opinión

Entradas más populares de este blog

Hosting gratis con PHP y MySQL

-
Imagen
Hosting Gratis sin publicidad con Soporte PHP y MySQL Si estas buscando un buen hosting para probar tus aplicaciones PHP con bases de datos MySQL sin necesidad de invertir un peso, (ahora si te gusta el servicio lo puedes contratar más adelante), te recomiendo probar 000webhost es un sitio que no solo te permite probar tus programas sino que lo mejor de todo es que no te inunda de publicidad la pantalla y tiene soporte para alojar un dominio propio y tu e-mail corporativo. Nada más que agregar, a probarlo!. Algunas características: Price: $0.00 Disk Space: 1500 MB Data Transfer: 100 GB / month Add-on Domains: 5 Sub-domains: 5 E-mail Addresses: 5 MySQL Databases: 2
Leer todo el artículo

¿Qué es Node.js? Guía completa para principiantes

-
Introducción:  Node.js es una plataforma de desarrollo de software de código abierto que se utiliza para crear aplicaciones web altamente escalables y eficientes. Con su creciente popularidad en los últimos años, Node.js se ha convertido en una tecnología imprescindible para desarrolladores y empresas que buscan mejorar su presencia en línea. En esta guía completa para principiantes, exploraremos todo lo que necesitas saber sobre Node.js, incluyendo su definición, características, beneficios y cómo empezar. ¿Qué es Node.js?  Node.js es un entorno de tiempo de ejecución de JavaScript que se utiliza para construir aplicaciones web en el lado del servidor. Fue creado por Ryan Dahl en 2009 y se basa en el motor de JavaScript V8 de Google Chrome. La plataforma se ejecuta en un solo subproceso, lo que significa que es capaz de manejar grandes cantidades de solicitudes de manera eficiente. Características de Node.js Node.js tiene varias características que lo hacen único y poderoso. Algunas d
Leer todo el artículo