Seguridad en PHP
Hola,
a la hora de programar en php ¿qué alternativas tenemos para dar seguridad a la aplicación, y cuales son mejores? (Hablando de php4)
Un saludo
a la hora de programar en php ¿qué alternativas tenemos para dar seguridad a la aplicación, y cuales son mejores? (Hablando de php4)
Un saludo
1 respuesta
Respuesta de bankhacker
1
Echa un vistazo a http://www.php.net/manual/es/security.php
De todos modos, te indico algunos consejos:
1.- No pases parámetros con GET sino con POST
2.- Para mayor seguridad, crea una variable de sesión de 32 bits que pase como parámetro obligatoriamente en cada petición, y la compruebas. Así garantizas el seguimiento exacto del diagrama de flujo del programa.
3.- No coloque un interprete CGI-BIN de PHP
De todos modos, te indico algunos consejos:
1.- No pases parámetros con GET sino con POST
2.- Para mayor seguridad, crea una variable de sesión de 32 bits que pase como parámetro obligatoriamente en cada petición, y la compruebas. Así garantizas el seguimiento exacto del diagrama de flujo del programa.
3.- No coloque un interprete CGI-BIN de PHP
Aparte de la seguridad en la programación, quisiera conocer también las alternativas para proteger el acceso. Fichero htaccess, alguna forma de acceder con permisos a instrucciones mkdir, etc. centralizando todo el desarrollo que se haga.
Gracias
Gracias
La seguridad en lo que respecta a accesos a los comandos del sistema está totalmente limitada a los privilegios del usuario que ejcuta tu servidor apache (Puedes ver con que usuario se ejecuta mediante pues aux o en el httpd.conf). Así, si tu script se encuentra en un directorio con permisos de escritura al usuario de apache, con php se podrán crear ficheros y directorios. Si no, no.
Por otro lado .htaccess limita el acceso por clave, pero esto no tiene nada que ver con PHP. Es una autenticación que controla apache, no php.
Otra forma de limitar el acceso es colocando la información en páginas dinámicas que solo se exponen cuando los parámetros login y password son correctos al confrontarlos con una tabla de php o una tabla sql.
Por otro lado .htaccess limita el acceso por clave, pero esto no tiene nada que ver con PHP. Es una autenticación que controla apache, no php.
Otra forma de limitar el acceso es colocando la información en páginas dinámicas que solo se exponen cuando los parámetros login y password son correctos al confrontarlos con una tabla de php o una tabla sql.
Me comentaron que podía emplear las llamadas al system con parámetros de usuario y clave. ¿No hay ninguna forma coherente de acceder a permisos del sistema o modificarlos como en Windows?
No se si digo tonterías pero, ¿no se podría usar para centralizar esto LDAP?
No se si digo tonterías pero, ¿no se podría usar para centralizar esto LDAP?
Desde PHP puedes realizar llamadas al sistema con la función exec. Por ejemplo, exec('ping www.yahoo.com -c4', $array_output); realizaría un ping y devolvería el resultado en un array. Como te decía los privilegios de los que dispones vienen restringidos por el usuario que ejecuta el servidor web en el servidor.
No tengo ni idea de la relación que quieres establecer entre LDAP y la ejecución de comandos de sistema desde PHP
No tengo ni idea de la relación que quieres establecer entre LDAP y la ejecución de comandos de sistema desde PHP
