SlideShare una empresa de Scribd logo

mejorando con php

Descargar como PPT, PDF
Ervin Santos Romero
Ervin Santos Romero

Este documento trata sobre la seguridad en PHP y presenta 6 temas principales: 1) variables globales, 2) nombres de ficheros, 3) subida de ficheros, 4) bibliotecas, 5) formularios y 6) configuración de PHP a través del fichero php.ini. El documento ofrece recomendaciones como deshabilitar register_globals, validar los nombres de ficheros, limitar el tamaño de subida de ficheros, almacenar bibliotecas fuera de la raíz web y usar htmlspecialchars() en datos de formularios.

Educación
1 de 21
Curso de PHP Tema 6: Seguridad
Tema 6: Seguridad 1. 2. 3. 4. 5. 6. Introducción Variables globales Nombres de ficheros Subida de ficheros Bibliotecas Formularios
Introducción Primera recomendación: – Disponer siempre de versiones actualizadas de Apache y PHP Aspectos de PHP que pueden dar lugar a vulnerabilidades: – – – – – Variables globales Nombres de ficheros Subida de ficheros Bibliotecas Datos enviados desde formularios
Variables globales Cuando register_globals está activado en el fichero php.ini, PHP crea automáticamente variables globales a partir de los datos de los formularios y de las cookies Esto puede dar lugar a problemas como en el ejemplo siguiente: <?PHP if (comprueba_privilegios()) $superuser = true; ... ?>
Variables globales Una llamada a este script de la forma pagina.php?superuser=1 permitiría obtener privilegios de superusuario Para resolver este problema existen tres soluciones: – Deshabilitar register_globals en el fichero php.ini – Inicializar las variables – Establecer el orden de las variables en PHP
Variables globales Deshabilitar register_globals en el fichero php.ini – La directiva register_globals del fichero php.ini establece si se admite o no la creación automática de variables globales – A partir de PHP 4.2.0 el valor por defecto de esta directiva es off, que es el valor recomendable
Variables globales Inicializar las variables – El problema anterior se soluciona dando un valor inicial a la variable $superuser: <?PHP $superuser = false; if (comprueba_privilegios()) $superuser = true; ... ?>
Variables globales Inicializar las variables – Es recomendable inicializar todas las variables antes de usarlas. Se puede usar la directiva error_reporting=E_ALL en php.ini para que se muestre un aviso cuando se use una variable que no haya sido previamente inicializada – En un entorno de producción debe evitarse la aparición de mensajes de aviso o error. Para ello se utilizan las siguientes directivas en php.ini: display_errors = off log_errors = on error_log = /var/log/php_errors.log – Los errores irán al fichero especificado en lugar de mostrarse en la pantalla
Variables globales Establecer el orden de las variables en PHP – PHP crea automáticamente variables globales a partir del entorno (E), las cookies (C), la información del servidor (S) y los parámetros GET (G) y POST (P) – La directiva variables_order controla el orden de estas variables. El valor por defecto es “EGPCS” – Permitir la creación de variables globales desde parámetros GET y POST y desde cookies es potencialmente peligroso. Un posible valor para variables_order que evita esto es “ES” – En tal caso para acceder a los parámetros de los formularios y a las cookies se deben utilizar los arrays globales $_REQUEST, $_GET, $_POST y $_COOKIES
Variables globales Establecer el orden de las variables en PHP – Si se modifican las directivas register_globals y/o variables_order es preciso revisar los scripts existentes para adaptarlos a las nuevas circunstancias – Una forma puede ser la siguiente: $edad = $_REQUEST[‘edad’]; ...
Nombres de ficheros Es relativamente fácil construir un nombre de fichero que se refiera a algo distinto a lo que se pretende Sea el siguiente código: include (“/usr/local/lib/bienvenida/$username”); Este código pretende mostrar un mensaje de bienvenida personalizado para el usuario. Aparentemente no es peligroso, pero ¿qué ocurriría si el usuario introduce como nombre la cadena “../../../../etc/passwd”? – Se mostraría el fichero de passwords del sistema
Nombres de ficheros Además hay que tener en cuenta que las funciones de manejo de ficheros como include() o require() admiten nombres de ficheros remotos, lo que podría provocar la ejecución de código maligno cargado de otro servidor. Sea, por ejemplo, el código include ($libdir . “/conecta.php”); Si un atacante modifica el valor de la variable $libdir a, pongamos por caso, “http://atacante/”, y coloca en la raíz del mismo un fichero de nombre conecta.php, su código sería ejecutado Se puede desactivar la funcionalidad de acceso a ficheros remotos con la siguiente directiva en php.ini: allow_url_fopen = off
Nombres de ficheros Para chequear nombres de ficheros se utilizan las funciones realpath() y basename(). La primera convierte direcciones relativas en absolutas y la segunda toma una ruta y devuelve la parte correspondiente al nombre del fichero. Ejemplo: $file = $_POST[‘username’]; $file2 = basename (realpath($file)); if ($file2 != $file) die (“$file no es un username válido”); include (“/usr/local/lib/bienvenida/$file”);
Nombres de ficheros Otra defensa contra los nombres de ficheros incorrectos es la directiva de php.ini open_basedir: open_basedir = /alguna/ruta PHP limitará las operaciones sobre ficheros al directorio especificado y sus subdirectorios: include (“/alguna/ruta/lib.inc”); // permitido include (“/otra/ruta/lib.inc”); // da error
Subida de ficheros La subida de ficheros permite a un usuario enviar cualquier fichero al servidor, lo cual encierra un gran peligro ya que un atacante puede subir un código maligno y luego ejecutarlo, causando más daño que cuando se incluye el código desde un servidor remoto Como recomendación general, debe evitarse utilizar el nombre enviado por el navegador (podría ser, por ejemplo, /etc/passwd). Es conveniente generar un nombre único para el fichero subido
Subida de ficheros Otro peligro es el tamaño de los ficheros. Aunque se limite el tamaño máximo en el formulario, los ficheros se reciben automáticamente y luego se comprueba su tamaño Es posible que un usuario intente provocar un ataque de denegación de servicio enviando varios ficheros de gran tamaño a la vez y llenando el sistema de ficheros utilizado por PHP para almacenarlos Para evitar esto se puede utilizar la directiva post_max_size de php.ini. El valor por defecto suele ser más elevado de lo necesario
Subida de ficheros Sea ahora el siguiente código: if (file_exists($file)) // chequea la existencia en // el sistema local include (“$file”); Esto evitaría la inclusión de un fichero remoto aunque el atacante controlase la variable $file Sin embargo, el atacante podría crear su propio formulario usando el nombre file para el campo de tipo fichero y al enviarlo colocaría en el servidor un fichero cuyo código sería ejecutado
Bibliotecas Es conveniente almacenar los ficheros de biblioteca fuera de la raíz de la web para evitar que puedan ser accedidos por su URL En tal caso debe hacerse saber a PHP la ubicación de los ficheros indicando la ruta completa en los include() y require() o bien mediante la directiva include_path en php.ini include_path = “.:/usr/local/php:/usr/local/lib/myapp” Esto es particularmente importante cuando en el código de la biblioteca aparecen passwords, como es el caso de las funciones de conexión con bases de datos
Formularios Es recomendable validar todos los datos provenientes de formularios para asegurarse de que los valores recibidos son los esperados En general, cualquier información proveniente del exterior debe contemplarse como posiblemente contaminada y debe ser verificada antes de ser utilizada Sea el siguiente ejemplo: print (“Nombre: “ . $nombre); print (“Comentario: “ . $comentario);
Formularios Si el autor del comentario introdujo algún código HTML en el texto del mismo, el código será interpretado y sus efectos podrían ser graves Para evitar esto se puede utilizar la función htmlspecialchars(), que impide que se interpreten los caracteres especiales de HTML (<, >, &) El código quedaría de la siguiente manera: print (“Nombre: “ . $nombre); print (“Comentario: “ . htmlspecialchars($comentario));
Resumen De todo lo anterior podemos concluir las dos recomendaciones siguientes: – Configurar adecuadamente PHP a través del fichero php.ini – Seguir unas buenas prácticas en la programación Hay que tener en cuenta que cualquier cambio en la configuración de PHP afectará a los scripts de todos los usuarios y posiblemente a algunas herramientas, lo cual debe ser tenido en cuenta y estudiarse sus consecuencias antes de proceder a realizarlos

Recomendados

PHP Tema 7 - Seguridad
PHP Tema 7 - SeguridadPHP Tema 7 - Seguridad
PHP Tema 7 - Seguridad
Spacetoshare
 
Desarrollo de sistios web
Desarrollo de sistios webDesarrollo de sistios web
Desarrollo de sistios web
esmartcrimt
 
Curso php dia6
Curso php dia6Curso php dia6
Curso php dia6
cognos_uie
 
desarrolo de sitios web php y mysql
desarrolo de sitios web php y mysqldesarrolo de sitios web php y mysql
desarrolo de sitios web php y mysql
Juan Timoteo Cori
 
Manual php y_mysql
Manual php y_mysqlManual php y_mysql
Manual php y_mysql
johan reyes
 
05 Php. Configuracion De Php
05 Php. Configuracion De Php05 Php. Configuracion De Php
05 Php. Configuracion De Php
José M. Padilla
 
Unix 1314 test
Unix 1314 testUnix 1314 test
Unix 1314 test
Carlos Sotomayor
 
Tutorial de php y my sql completo
Tutorial de php y my sql completoTutorial de php y my sql completo
Tutorial de php y my sql completo
Andrés Amaya
 

Recomendados

PHP Tema 7 - Seguridad
PHP Tema 7 - SeguridadPHP Tema 7 - Seguridad
PHP Tema 7 - Seguridad
Spacetoshare
 
Desarrollo de sistios web
Desarrollo de sistios webDesarrollo de sistios web
Desarrollo de sistios web
esmartcrimt
 
Curso php dia6
Curso php dia6Curso php dia6
Curso php dia6
cognos_uie
 
desarrolo de sitios web php y mysql
desarrolo de sitios web php y mysqldesarrolo de sitios web php y mysql
desarrolo de sitios web php y mysql
Juan Timoteo Cori
 
Manual php y_mysql
Manual php y_mysqlManual php y_mysql
Manual php y_mysql
johan reyes
 
05 Php. Configuracion De Php
05 Php. Configuracion De Php05 Php. Configuracion De Php
05 Php. Configuracion De Php
José M. Padilla
 
Unix 1314 test
Unix 1314 testUnix 1314 test
Unix 1314 test
Carlos Sotomayor
 
Tutorial de php y my sql completo
Tutorial de php y my sql completoTutorial de php y my sql completo
Tutorial de php y my sql completo
Andrés Amaya
 
Manejo de archivos
Manejo de archivosManejo de archivos
Manejo de archivos
Duglas Oswaldo Moreno Mendoza
 
php
phpphp
php
nfjs001
 
Introducción a PHP5
Introducción a PHP5Introducción a PHP5
Introducción a PHP5
Open University, KMi
 
94 Php. Instalacion De Apache 2.0.58
94 Php. Instalacion De Apache 2.0.5894 Php. Instalacion De Apache 2.0.58
94 Php. Instalacion De Apache 2.0.58
José M. Padilla
 
Manual ldap
Manual ldapManual ldap
Manual ldap
omarhl2
 
Dos 2 p 2q
Dos 2 p 2qDos 2 p 2q
Dos 2 p 2q
Cristian Leon
 
56 Php. Transferencia De Ficheros
56 Php. Transferencia De Ficheros56 Php. Transferencia De Ficheros
56 Php. Transferencia De Ficheros
José M. Padilla
 
Ficheros Php
Ficheros PhpFicheros Php
Ficheros Php
Iván Chillón
 
Tuberías (PIPES). EN GNU-LINUX-CENTOS ::: http://leymebamba.com
Tuberías (PIPES). EN GNU-LINUX-CENTOS ::: http://leymebamba.comTuberías (PIPES). EN GNU-LINUX-CENTOS ::: http://leymebamba.com
Tuberías (PIPES). EN GNU-LINUX-CENTOS ::: http://leymebamba.com
{|::::::. ELDAVAN .:::::::|}
 
Instalación de SGBD
Instalación de SGBDInstalación de SGBD
Instalación de SGBD
davidsalvadorplds
 
PROGRAMACION EN Php
PROGRAMACION EN Php PROGRAMACION EN Php
PROGRAMACION EN Php
David A. Moreno A.
 
Capitulo 9
Capitulo 9Capitulo 9
Capitulo 9
jajajajaja24
 
Php y my sql. tecnología para el desarrollo de aplicaciones web escrito por á...
Php y my sql. tecnología para el desarrollo de aplicaciones web escrito por á...Php y my sql. tecnología para el desarrollo de aplicaciones web escrito por á...
Php y my sql. tecnología para el desarrollo de aplicaciones web escrito por á...
ingenran
 
Sesion Nº 04 Introducción A Php Operadores E Instrucciones
Sesion Nº 04 Introducción A Php Operadores E InstruccionesSesion Nº 04 Introducción A Php Operadores E Instrucciones
Sesion Nº 04 Introducción A Php Operadores E Instrucciones
Edgar A. Cruz Huaman
 
Includes y $GET
Includes y $GETIncludes y $GET
Includes y $GET
upresentaciones
 
Php - Operadores básicos
Php - Operadores básicosPhp - Operadores básicos
Php - Operadores básicos
Efrain Herrera Jimenez
 
Introducción a PHP
Introducción a PHPIntroducción a PHP
Introducción a PHP
Jose Emilio Labra Gayo
 
Iniciación PHP 5. Ejemplos
Iniciación PHP 5. EjemplosIniciación PHP 5. Ejemplos
Iniciación PHP 5. Ejemplos
Rightster
 
Manual php5 basico
Manual php5 basicoManual php5 basico
Manual php5 basico
claudicristy
 
Estructura Básica de PHP
Estructura Básica de PHPEstructura Básica de PHP
Estructura Básica de PHP
Marysabel Morillo Ararat
 
Guía de buenas prácticas para desarrolladores web
Guía de buenas prácticas para desarrolladores webGuía de buenas prácticas para desarrolladores web
Guía de buenas prácticas para desarrolladores web
Juan Victor Minaya León
 
Iniciación PHP 5. PHP y MySQL
Iniciación PHP 5. PHP y MySQLIniciación PHP 5. PHP y MySQL
Iniciación PHP 5. PHP y MySQL
Rightster
 

Más contenido relacionado

La actualidad más candente

Manejo de archivos
Manejo de archivosManejo de archivos
Manejo de archivos
Duglas Oswaldo Moreno Mendoza
 
php
phpphp
php
nfjs001
 
Introducción a PHP5
Introducción a PHP5Introducción a PHP5
Introducción a PHP5
Open University, KMi
 
94 Php. Instalacion De Apache 2.0.58
94 Php. Instalacion De Apache 2.0.5894 Php. Instalacion De Apache 2.0.58
94 Php. Instalacion De Apache 2.0.58
José M. Padilla
 
Manual ldap
Manual ldapManual ldap
Manual ldap
omarhl2
 
Dos 2 p 2q
Dos 2 p 2qDos 2 p 2q
Dos 2 p 2q
Cristian Leon
 
56 Php. Transferencia De Ficheros
56 Php. Transferencia De Ficheros56 Php. Transferencia De Ficheros
56 Php. Transferencia De Ficheros
José M. Padilla
 
Ficheros Php
Ficheros PhpFicheros Php
Ficheros Php
Iván Chillón
 
Tuberías (PIPES). EN GNU-LINUX-CENTOS ::: http://leymebamba.com
Tuberías (PIPES). EN GNU-LINUX-CENTOS ::: http://leymebamba.comTuberías (PIPES). EN GNU-LINUX-CENTOS ::: http://leymebamba.com
Tuberías (PIPES). EN GNU-LINUX-CENTOS ::: http://leymebamba.com
{|::::::. ELDAVAN .:::::::|}
 
Instalación de SGBD
Instalación de SGBDInstalación de SGBD
Instalación de SGBD
davidsalvadorplds
 
PROGRAMACION EN Php
PROGRAMACION EN Php PROGRAMACION EN Php
PROGRAMACION EN Php
David A. Moreno A.
 
Capitulo 9
Capitulo 9Capitulo 9
Capitulo 9
jajajajaja24
 

La actualidad más candente (12)

Manejo de archivos
Manejo de archivosManejo de archivos
Manejo de archivos
 
php
phpphp
php
 
Introducción a PHP5
Introducción a PHP5Introducción a PHP5
Introducción a PHP5
 
94 Php. Instalacion De Apache 2.0.58
94 Php. Instalacion De Apache 2.0.5894 Php. Instalacion De Apache 2.0.58
94 Php. Instalacion De Apache 2.0.58
 
Manual ldap
Manual ldapManual ldap
Manual ldap
 
Dos 2 p 2q
Dos 2 p 2qDos 2 p 2q
Dos 2 p 2q
 
56 Php. Transferencia De Ficheros
56 Php. Transferencia De Ficheros56 Php. Transferencia De Ficheros
56 Php. Transferencia De Ficheros
 
Ficheros Php
Ficheros PhpFicheros Php
Ficheros Php
 
Tuberías (PIPES). EN GNU-LINUX-CENTOS ::: http://leymebamba.com
Tuberías (PIPES). EN GNU-LINUX-CENTOS ::: http://leymebamba.comTuberías (PIPES). EN GNU-LINUX-CENTOS ::: http://leymebamba.com
Tuberías (PIPES). EN GNU-LINUX-CENTOS ::: http://leymebamba.com
 
Instalación de SGBD
Instalación de SGBDInstalación de SGBD
Instalación de SGBD
 
PROGRAMACION EN Php
PROGRAMACION EN Php PROGRAMACION EN Php
PROGRAMACION EN Php
 
Capitulo 9
Capitulo 9Capitulo 9
Capitulo 9
 

Destacado

Php y my sql. tecnología para el desarrollo de aplicaciones web escrito por á...
Php y my sql. tecnología para el desarrollo de aplicaciones web escrito por á...Php y my sql. tecnología para el desarrollo de aplicaciones web escrito por á...
Php y my sql. tecnología para el desarrollo de aplicaciones web escrito por á...
ingenran
 
Sesion Nº 04 Introducción A Php Operadores E Instrucciones
Sesion Nº 04 Introducción A Php Operadores E InstruccionesSesion Nº 04 Introducción A Php Operadores E Instrucciones
Sesion Nº 04 Introducción A Php Operadores E Instrucciones
Edgar A. Cruz Huaman
 
Includes y $GET
Includes y $GETIncludes y $GET
Includes y $GET
upresentaciones
 
Php - Operadores básicos
Php - Operadores básicosPhp - Operadores básicos
Php - Operadores básicos
Efrain Herrera Jimenez
 
Introducción a PHP
Introducción a PHPIntroducción a PHP
Introducción a PHP
Jose Emilio Labra Gayo
 
Iniciación PHP 5. Ejemplos
Iniciación PHP 5. EjemplosIniciación PHP 5. Ejemplos
Iniciación PHP 5. Ejemplos
Rightster
 
Manual php5 basico
Manual php5 basicoManual php5 basico
Manual php5 basico
claudicristy
 
Estructura Básica de PHP
Estructura Básica de PHPEstructura Básica de PHP
Estructura Básica de PHP
Marysabel Morillo Ararat
 
Guía de buenas prácticas para desarrolladores web
Guía de buenas prácticas para desarrolladores webGuía de buenas prácticas para desarrolladores web
Guía de buenas prácticas para desarrolladores web
Juan Victor Minaya León
 
Iniciación PHP 5. PHP y MySQL
Iniciación PHP 5. PHP y MySQLIniciación PHP 5. PHP y MySQL
Iniciación PHP 5. PHP y MySQL
Rightster
 
Ejercicios resueltos
Ejercicios resueltosEjercicios resueltos
Ejercicios resueltos
fermodcor
 
Cuaderno de-ejercicios-y-practicas-php
Cuaderno de-ejercicios-y-practicas-phpCuaderno de-ejercicios-y-practicas-php
Cuaderno de-ejercicios-y-practicas-php
lgcj1989
 
52 ejercicios-resueltos-en-pseudocodigo
52 ejercicios-resueltos-en-pseudocodigo52 ejercicios-resueltos-en-pseudocodigo
52 ejercicios-resueltos-en-pseudocodigo
epetekaun
 
Buenas Prácticas de Programación en PHP
Buenas Prácticas de Programación en PHPBuenas Prácticas de Programación en PHP
Buenas Prácticas de Programación en PHP
Jesus Castagnetto
 
Ciclovida
CiclovidaCiclovida
Ciclovida
zunzunx zunzunx
 
Ejemplos de algoritmos en C básicos (aprendiendo a programar)
Ejemplos de algoritmos en C básicos (aprendiendo a programar)Ejemplos de algoritmos en C básicos (aprendiendo a programar)
Ejemplos de algoritmos en C básicos (aprendiendo a programar)
Kiim Kerrigan
 
Manual+php+básico
Manual+php+básicoManual+php+básico
Manual+php+básico
Santiago L Caballero Navia
 

Destacado (17)

Php y my sql. tecnología para el desarrollo de aplicaciones web escrito por á...
Php y my sql. tecnología para el desarrollo de aplicaciones web escrito por á...Php y my sql. tecnología para el desarrollo de aplicaciones web escrito por á...
Php y my sql. tecnología para el desarrollo de aplicaciones web escrito por á...
 
Sesion Nº 04 Introducción A Php Operadores E Instrucciones
Sesion Nº 04 Introducción A Php Operadores E InstruccionesSesion Nº 04 Introducción A Php Operadores E Instrucciones
Sesion Nº 04 Introducción A Php Operadores E Instrucciones
 
Includes y $GET
Includes y $GETIncludes y $GET
Includes y $GET
 
Php - Operadores básicos
Php - Operadores básicosPhp - Operadores básicos
Php - Operadores básicos
 
Introducción a PHP
Introducción a PHPIntroducción a PHP
Introducción a PHP
 
Iniciación PHP 5. Ejemplos
Iniciación PHP 5. EjemplosIniciación PHP 5. Ejemplos
Iniciación PHP 5. Ejemplos
 
Manual php5 basico
Manual php5 basicoManual php5 basico
Manual php5 basico
 
Estructura Básica de PHP
Estructura Básica de PHPEstructura Básica de PHP
Estructura Básica de PHP
 
Guía de buenas prácticas para desarrolladores web
Guía de buenas prácticas para desarrolladores webGuía de buenas prácticas para desarrolladores web
Guía de buenas prácticas para desarrolladores web
 
Iniciación PHP 5. PHP y MySQL
Iniciación PHP 5. PHP y MySQLIniciación PHP 5. PHP y MySQL
Iniciación PHP 5. PHP y MySQL
 
Ejercicios resueltos
Ejercicios resueltosEjercicios resueltos
Ejercicios resueltos
 
Cuaderno de-ejercicios-y-practicas-php
Cuaderno de-ejercicios-y-practicas-phpCuaderno de-ejercicios-y-practicas-php
Cuaderno de-ejercicios-y-practicas-php
 
52 ejercicios-resueltos-en-pseudocodigo
52 ejercicios-resueltos-en-pseudocodigo52 ejercicios-resueltos-en-pseudocodigo
52 ejercicios-resueltos-en-pseudocodigo
 
Buenas Prácticas de Programación en PHP
Buenas Prácticas de Programación en PHPBuenas Prácticas de Programación en PHP
Buenas Prácticas de Programación en PHP
 
Ciclovida
CiclovidaCiclovida
Ciclovida
 
Ejemplos de algoritmos en C básicos (aprendiendo a programar)
Ejemplos de algoritmos en C básicos (aprendiendo a programar)Ejemplos de algoritmos en C básicos (aprendiendo a programar)
Ejemplos de algoritmos en C básicos (aprendiendo a programar)
 
Manual+php+básico
Manual+php+básicoManual+php+básico
Manual+php+básico
 

Similar a mejorando con php

Php andmysql (1)
Php andmysql (1)Php andmysql (1)
Php andmysql (1)
Carolina Valdivieso
 
Tutorial de php y my sql completo
Tutorial de php y my sql completoTutorial de php y my sql completo
Tutorial de php y my sql completo
Ignacio Reyes
 
633f9e tutorial de php y my sql completo (1)
633f9e tutorial de php y my sql completo (1)633f9e tutorial de php y my sql completo (1)
633f9e tutorial de php y my sql completo (1)
Eduardo Monroy Husillos
 
633f9e tutorial de php y my sql completo
633f9e tutorial de php y my sql completo633f9e tutorial de php y my sql completo
633f9e tutorial de php y my sql completo
METROPOLITANO
 
Tutorial mysqlphp
Tutorial mysqlphpTutorial mysqlphp
Tutorial mysqlphp
william kozisck
 
Tutorial de php y my sql completo
Tutorial de php y my sql completoTutorial de php y my sql completo
Tutorial de php y my sql completo
Ernesto Gamboa
 
Tutorial de php y my sql completo
Tutorial de php y my sql completoTutorial de php y my sql completo
Tutorial de php y my sql completo
Alberto Martinez
 
633f9e tutorial de php y my sql completo
633f9e tutorial de php y my sql completo633f9e tutorial de php y my sql completo
633f9e tutorial de php y my sql completo
Ubeimar Navarro Herrera
 
Introducción a Kohana Framework
Introducción a Kohana FrameworkIntroducción a Kohana Framework
Introducción a Kohana Framework
Jorge Iván Meza Martínez
 
PHP.pdf PHP.pdf PHP.pdf PHP.pdf PHP.pdf PHP.pdf
PHP.pdf PHP.pdf PHP.pdf PHP.pdf PHP.pdf PHP.pdfPHP.pdf PHP.pdf PHP.pdf PHP.pdf PHP.pdf PHP.pdf
PHP.pdf PHP.pdf PHP.pdf PHP.pdf PHP.pdf PHP.pdf
Raaulroodriguez
 
Manejo de datos blob con php y my sql
Manejo de datos blob con php y my sqlManejo de datos blob con php y my sql
Manejo de datos blob con php y my sql
tavo_rojas22
 
Apache: instalación y configuración en Ubuntu Server y Windows Server
Apache: instalación y configuración en Ubuntu Server y Windows ServerApache: instalación y configuración en Ubuntu Server y Windows Server
Apache: instalación y configuración en Ubuntu Server y Windows Server
Nombre Apellidos
 
Pdf
PdfPdf
Pdf
Fabiola Jaldin
 
33 php
33 php33 php
33 php
Jose Garcia
 
Php andmysql
Php andmysqlPhp andmysql
Php andmysql
Frank Gastelo La Chira
 
Unidad 3 ficheros
Unidad 3 ficherosUnidad 3 ficheros
Unidad 3 ficheros
Roderic Tronc
 
69 Php. Proteccion De Directorios
69 Php. Proteccion De Directorios69 Php. Proteccion De Directorios
69 Php. Proteccion De Directorios
José M. Padilla
 
Tutorial php basico
Tutorial php basicoTutorial php basico
Tutorial php basico
Yo ♥ Tacna
 
Framework kahana
Framework kahanaFramework kahana
Framework kahana
H31D1
 
Tutorial de cakePHP itst
Tutorial de cakePHP itstTutorial de cakePHP itst
Tutorial de cakePHP itst
omicx
 

Similar a mejorando con php (20)

Php andmysql (1)
Php andmysql (1)Php andmysql (1)
Php andmysql (1)
 
Tutorial de php y my sql completo
Tutorial de php y my sql completoTutorial de php y my sql completo
Tutorial de php y my sql completo
 
633f9e tutorial de php y my sql completo (1)
633f9e tutorial de php y my sql completo (1)633f9e tutorial de php y my sql completo (1)
633f9e tutorial de php y my sql completo (1)
 
633f9e tutorial de php y my sql completo
633f9e tutorial de php y my sql completo633f9e tutorial de php y my sql completo
633f9e tutorial de php y my sql completo
 
Tutorial mysqlphp
Tutorial mysqlphpTutorial mysqlphp
Tutorial mysqlphp
 
Tutorial de php y my sql completo
Tutorial de php y my sql completoTutorial de php y my sql completo
Tutorial de php y my sql completo
 
Tutorial de php y my sql completo
Tutorial de php y my sql completoTutorial de php y my sql completo
Tutorial de php y my sql completo
 
633f9e tutorial de php y my sql completo
633f9e tutorial de php y my sql completo633f9e tutorial de php y my sql completo
633f9e tutorial de php y my sql completo
 
Introducción a Kohana Framework
Introducción a Kohana FrameworkIntroducción a Kohana Framework
Introducción a Kohana Framework
 
PHP.pdf PHP.pdf PHP.pdf PHP.pdf PHP.pdf PHP.pdf
PHP.pdf PHP.pdf PHP.pdf PHP.pdf PHP.pdf PHP.pdfPHP.pdf PHP.pdf PHP.pdf PHP.pdf PHP.pdf PHP.pdf
PHP.pdf PHP.pdf PHP.pdf PHP.pdf PHP.pdf PHP.pdf
 
Manejo de datos blob con php y my sql
Manejo de datos blob con php y my sqlManejo de datos blob con php y my sql
Manejo de datos blob con php y my sql
 
Apache: instalación y configuración en Ubuntu Server y Windows Server
Apache: instalación y configuración en Ubuntu Server y Windows ServerApache: instalación y configuración en Ubuntu Server y Windows Server
Apache: instalación y configuración en Ubuntu Server y Windows Server
 
Pdf
PdfPdf
Pdf
 
33 php
33 php33 php
33 php
 
Php andmysql
Php andmysqlPhp andmysql
Php andmysql
 
Unidad 3 ficheros
Unidad 3 ficherosUnidad 3 ficheros
Unidad 3 ficheros
 
69 Php. Proteccion De Directorios
69 Php. Proteccion De Directorios69 Php. Proteccion De Directorios
69 Php. Proteccion De Directorios
 
Tutorial php basico
Tutorial php basicoTutorial php basico
Tutorial php basico
 
Framework kahana
Framework kahanaFramework kahana
Framework kahana
 
Tutorial de cakePHP itst
Tutorial de cakePHP itstTutorial de cakePHP itst
Tutorial de cakePHP itst
 

Último

Evaluacion del tercer trimestre del 2023-2024
Evaluacion del tercer trimestre del 2023-2024Evaluacion del tercer trimestre del 2023-2024
Evaluacion del tercer trimestre del 2023-2024
israelsouza67
 
Cronica-de-una-Muerte-Anunciada - Gabriel Garcia Marquez.pdf
Cronica-de-una-Muerte-Anunciada - Gabriel Garcia Marquez.pdfCronica-de-una-Muerte-Anunciada - Gabriel Garcia Marquez.pdf
Cronica-de-una-Muerte-Anunciada - Gabriel Garcia Marquez.pdf
RicardoValdiviaVega
 
CINE COMO RECURSO DIDÁCTICO para utilizar en TUTORÍA
CINE COMO RECURSO DIDÁCTICO para utilizar en TUTORÍACINE COMO RECURSO DIDÁCTICO para utilizar en TUTORÍA
CINE COMO RECURSO DIDÁCTICO para utilizar en TUTORÍA
Fernández Gorka
 
La necesidad de bienestar y el uso de la naturaleza.pdf
La necesidad de bienestar y el uso de la naturaleza.pdfLa necesidad de bienestar y el uso de la naturaleza.pdf
La necesidad de bienestar y el uso de la naturaleza.pdf
JonathanCovena1
 
Lecciones 10 Esc. Sabática. El espiritismo desenmascarado docx
Lecciones 10 Esc. Sabática. El espiritismo desenmascarado docxLecciones 10 Esc. Sabática. El espiritismo desenmascarado docx
Lecciones 10 Esc. Sabática. El espiritismo desenmascarado docx
Alejandrino Halire Ccahuana
 
MATERIAL ESCOLAR 2024-2025. 4 AÑOS CEIP SAN CRISTOBAL
MATERIAL ESCOLAR 2024-2025. 4 AÑOS CEIP SAN CRISTOBALMATERIAL ESCOLAR 2024-2025. 4 AÑOS CEIP SAN CRISTOBAL
MATERIAL ESCOLAR 2024-2025. 4 AÑOS CEIP SAN CRISTOBAL
Ana Fernandez
 
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIACONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
ginnazamudio
 
Los Dominios y Reinos de los Seres Vivos
Los Dominios y Reinos de los Seres VivosLos Dominios y Reinos de los Seres Vivos
Los Dominios y Reinos de los Seres Vivos
karlafreire0608
 
Inteligencia Artificial y Aprendizaje Activo FLACSO Ccesa007.pdf
Inteligencia Artificial y Aprendizaje Activo FLACSO Ccesa007.pdfInteligencia Artificial y Aprendizaje Activo FLACSO Ccesa007.pdf
Inteligencia Artificial y Aprendizaje Activo FLACSO Ccesa007.pdf
Demetrio Ccesa Rayme
 
1° T3 Examen Zany de primer grado compl
1° T3 Examen Zany de primer grado compl1° T3 Examen Zany de primer grado compl
1° T3 Examen Zany de primer grado compl
ROCIORUIZQUEZADA
 
Manual de procedimiento para gráficos HC
Manual de procedimiento para gráficos HCManual de procedimiento para gráficos HC
Manual de procedimiento para gráficos HC
josseanlo1581
 
DESARROLLO DE LAS RELACIONES CON LOS STAKEHOLDERS.pdf
DESARROLLO DE LAS RELACIONES CON LOS STAKEHOLDERS.pdfDESARROLLO DE LAS RELACIONES CON LOS STAKEHOLDERS.pdf
DESARROLLO DE LAS RELACIONES CON LOS STAKEHOLDERS.pdf
JonathanCovena1
 
p4s.co Ecosistema de Ecosistemas - Diagrama.pdf
p4s.co Ecosistema de Ecosistemas - Diagrama.pdfp4s.co Ecosistema de Ecosistemas - Diagrama.pdf
p4s.co Ecosistema de Ecosistemas - Diagrama.pdf
DavidCamiloMosquera
 
Este documento contiene, el programa completo de un acto para realizar la pro...
Este documento contiene, el programa completo de un acto para realizar la pro...Este documento contiene, el programa completo de un acto para realizar la pro...
Este documento contiene, el programa completo de un acto para realizar la pro...
romina395894
 
Chatgpt para los Profesores Ccesa007.pdf
Chatgpt para los Profesores Ccesa007.pdfChatgpt para los Profesores Ccesa007.pdf
Chatgpt para los Profesores Ccesa007.pdf
Demetrio Ccesa Rayme
 
Camus, Albert - El Extranjero.pdf
Camus, Albert - El Extranjero.pdfCamus, Albert - El Extranjero.pdf
Camus, Albert - El Extranjero.pdf
AlexDeLonghi
 
tema 7. Los siglos XVI y XVII ( resumen)
tema 7. Los siglos XVI y XVII ( resumen)tema 7. Los siglos XVI y XVII ( resumen)
tema 7. Los siglos XVI y XVII ( resumen)
saradocente
 
Clase Prensencial, Actividad 2.pdf.......
Clase Prensencial, Actividad 2.pdf.......Clase Prensencial, Actividad 2.pdf.......
Clase Prensencial, Actividad 2.pdf.......
LuanaJaime1
 
Liturgia día del Padre del siguiente domingo.pptx
Liturgia día del Padre del siguiente domingo.pptxLiturgia día del Padre del siguiente domingo.pptx
Liturgia día del Padre del siguiente domingo.pptx
YeniferGarcia36
 
Hablemos de ESI para estudiantes Cuadernillo
Hablemos de ESI para estudiantes CuadernilloHablemos de ESI para estudiantes Cuadernillo
Hablemos de ESI para estudiantes Cuadernillo
Mónica Sánchez
 

Último (20)

Evaluacion del tercer trimestre del 2023-2024
Evaluacion del tercer trimestre del 2023-2024Evaluacion del tercer trimestre del 2023-2024
Evaluacion del tercer trimestre del 2023-2024
 
Cronica-de-una-Muerte-Anunciada - Gabriel Garcia Marquez.pdf
Cronica-de-una-Muerte-Anunciada - Gabriel Garcia Marquez.pdfCronica-de-una-Muerte-Anunciada - Gabriel Garcia Marquez.pdf
Cronica-de-una-Muerte-Anunciada - Gabriel Garcia Marquez.pdf
 
CINE COMO RECURSO DIDÁCTICO para utilizar en TUTORÍA
CINE COMO RECURSO DIDÁCTICO para utilizar en TUTORÍACINE COMO RECURSO DIDÁCTICO para utilizar en TUTORÍA
CINE COMO RECURSO DIDÁCTICO para utilizar en TUTORÍA
 
La necesidad de bienestar y el uso de la naturaleza.pdf
La necesidad de bienestar y el uso de la naturaleza.pdfLa necesidad de bienestar y el uso de la naturaleza.pdf
La necesidad de bienestar y el uso de la naturaleza.pdf
 
Lecciones 10 Esc. Sabática. El espiritismo desenmascarado docx
Lecciones 10 Esc. Sabática. El espiritismo desenmascarado docxLecciones 10 Esc. Sabática. El espiritismo desenmascarado docx
Lecciones 10 Esc. Sabática. El espiritismo desenmascarado docx
 
MATERIAL ESCOLAR 2024-2025. 4 AÑOS CEIP SAN CRISTOBAL
MATERIAL ESCOLAR 2024-2025. 4 AÑOS CEIP SAN CRISTOBALMATERIAL ESCOLAR 2024-2025. 4 AÑOS CEIP SAN CRISTOBAL
MATERIAL ESCOLAR 2024-2025. 4 AÑOS CEIP SAN CRISTOBAL
 
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIACONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
CONTENIDOS Y PDA DE LA FASE 3,4 Y 5 EN NIVEL PRIMARIA
 
Los Dominios y Reinos de los Seres Vivos
Los Dominios y Reinos de los Seres VivosLos Dominios y Reinos de los Seres Vivos
Los Dominios y Reinos de los Seres Vivos
 
Inteligencia Artificial y Aprendizaje Activo FLACSO Ccesa007.pdf
Inteligencia Artificial y Aprendizaje Activo FLACSO Ccesa007.pdfInteligencia Artificial y Aprendizaje Activo FLACSO Ccesa007.pdf
Inteligencia Artificial y Aprendizaje Activo FLACSO Ccesa007.pdf
 
1° T3 Examen Zany de primer grado compl
1° T3 Examen Zany de primer grado compl1° T3 Examen Zany de primer grado compl
1° T3 Examen Zany de primer grado compl
 
Manual de procedimiento para gráficos HC
Manual de procedimiento para gráficos HCManual de procedimiento para gráficos HC
Manual de procedimiento para gráficos HC
 
DESARROLLO DE LAS RELACIONES CON LOS STAKEHOLDERS.pdf
DESARROLLO DE LAS RELACIONES CON LOS STAKEHOLDERS.pdfDESARROLLO DE LAS RELACIONES CON LOS STAKEHOLDERS.pdf
DESARROLLO DE LAS RELACIONES CON LOS STAKEHOLDERS.pdf
 
p4s.co Ecosistema de Ecosistemas - Diagrama.pdf
p4s.co Ecosistema de Ecosistemas - Diagrama.pdfp4s.co Ecosistema de Ecosistemas - Diagrama.pdf
p4s.co Ecosistema de Ecosistemas - Diagrama.pdf
 
Este documento contiene, el programa completo de un acto para realizar la pro...
Este documento contiene, el programa completo de un acto para realizar la pro...Este documento contiene, el programa completo de un acto para realizar la pro...
Este documento contiene, el programa completo de un acto para realizar la pro...
 
Chatgpt para los Profesores Ccesa007.pdf
Chatgpt para los Profesores Ccesa007.pdfChatgpt para los Profesores Ccesa007.pdf
Chatgpt para los Profesores Ccesa007.pdf
 
Camus, Albert - El Extranjero.pdf
Camus, Albert - El Extranjero.pdfCamus, Albert - El Extranjero.pdf
Camus, Albert - El Extranjero.pdf
 
tema 7. Los siglos XVI y XVII ( resumen)
tema 7. Los siglos XVI y XVII ( resumen)tema 7. Los siglos XVI y XVII ( resumen)
tema 7. Los siglos XVI y XVII ( resumen)
 
Clase Prensencial, Actividad 2.pdf.......
Clase Prensencial, Actividad 2.pdf.......Clase Prensencial, Actividad 2.pdf.......
Clase Prensencial, Actividad 2.pdf.......
 
Liturgia día del Padre del siguiente domingo.pptx
Liturgia día del Padre del siguiente domingo.pptxLiturgia día del Padre del siguiente domingo.pptx
Liturgia día del Padre del siguiente domingo.pptx
 
Hablemos de ESI para estudiantes Cuadernillo
Hablemos de ESI para estudiantes CuadernilloHablemos de ESI para estudiantes Cuadernillo
Hablemos de ESI para estudiantes Cuadernillo
 

mejorando con php

  • 1. Curso de PHP Tema 6: Seguridad
  • 2. Tema 6: Seguridad 1. 2. 3. 4. 5. 6. Introducción Variables globales Nombres de ficheros Subida de ficheros Bibliotecas Formularios
  • 3. Introducción Primera recomendación: – Disponer siempre de versiones actualizadas de Apache y PHP Aspectos de PHP que pueden dar lugar a vulnerabilidades: – – – – – Variables globales Nombres de ficheros Subida de ficheros Bibliotecas Datos enviados desde formularios
  • 4. Variables globales Cuando register_globals está activado en el fichero php.ini, PHP crea automáticamente variables globales a partir de los datos de los formularios y de las cookies Esto puede dar lugar a problemas como en el ejemplo siguiente: <?PHP if (comprueba_privilegios()) $superuser = true; ... ?>
  • 5. Variables globales Una llamada a este script de la forma pagina.php?superuser=1 permitiría obtener privilegios de superusuario Para resolver este problema existen tres soluciones: – Deshabilitar register_globals en el fichero php.ini – Inicializar las variables – Establecer el orden de las variables en PHP
  • 6. Variables globales Deshabilitar register_globals en el fichero php.ini – La directiva register_globals del fichero php.ini establece si se admite o no la creación automática de variables globales – A partir de PHP 4.2.0 el valor por defecto de esta directiva es off, que es el valor recomendable
  • 7. Variables globales Inicializar las variables – El problema anterior se soluciona dando un valor inicial a la variable $superuser: <?PHP $superuser = false; if (comprueba_privilegios()) $superuser = true; ... ?>
  • 8. Variables globales Inicializar las variables – Es recomendable inicializar todas las variables antes de usarlas. Se puede usar la directiva error_reporting=E_ALL en php.ini para que se muestre un aviso cuando se use una variable que no haya sido previamente inicializada – En un entorno de producción debe evitarse la aparición de mensajes de aviso o error. Para ello se utilizan las siguientes directivas en php.ini: display_errors = off log_errors = on error_log = /var/log/php_errors.log – Los errores irán al fichero especificado en lugar de mostrarse en la pantalla
  • 9. Variables globales Establecer el orden de las variables en PHP – PHP crea automáticamente variables globales a partir del entorno (E), las cookies (C), la información del servidor (S) y los parámetros GET (G) y POST (P) – La directiva variables_order controla el orden de estas variables. El valor por defecto es “EGPCS” – Permitir la creación de variables globales desde parámetros GET y POST y desde cookies es potencialmente peligroso. Un posible valor para variables_order que evita esto es “ES” – En tal caso para acceder a los parámetros de los formularios y a las cookies se deben utilizar los arrays globales $_REQUEST, $_GET, $_POST y $_COOKIES
  • 10. Variables globales Establecer el orden de las variables en PHP – Si se modifican las directivas register_globals y/o variables_order es preciso revisar los scripts existentes para adaptarlos a las nuevas circunstancias – Una forma puede ser la siguiente: $edad = $_REQUEST[‘edad’]; ...
  • 11. Nombres de ficheros Es relativamente fácil construir un nombre de fichero que se refiera a algo distinto a lo que se pretende Sea el siguiente código: include (“/usr/local/lib/bienvenida/$username”); Este código pretende mostrar un mensaje de bienvenida personalizado para el usuario. Aparentemente no es peligroso, pero ¿qué ocurriría si el usuario introduce como nombre la cadena “../../../../etc/passwd”? – Se mostraría el fichero de passwords del sistema
  • 12. Nombres de ficheros Además hay que tener en cuenta que las funciones de manejo de ficheros como include() o require() admiten nombres de ficheros remotos, lo que podría provocar la ejecución de código maligno cargado de otro servidor. Sea, por ejemplo, el código include ($libdir . “/conecta.php”); Si un atacante modifica el valor de la variable $libdir a, pongamos por caso, “http://atacante/”, y coloca en la raíz del mismo un fichero de nombre conecta.php, su código sería ejecutado Se puede desactivar la funcionalidad de acceso a ficheros remotos con la siguiente directiva en php.ini: allow_url_fopen = off
  • 13. Nombres de ficheros Para chequear nombres de ficheros se utilizan las funciones realpath() y basename(). La primera convierte direcciones relativas en absolutas y la segunda toma una ruta y devuelve la parte correspondiente al nombre del fichero. Ejemplo: $file = $_POST[‘username’]; $file2 = basename (realpath($file)); if ($file2 != $file) die (“$file no es un username válido”); include (“/usr/local/lib/bienvenida/$file”);
  • 14. Nombres de ficheros Otra defensa contra los nombres de ficheros incorrectos es la directiva de php.ini open_basedir: open_basedir = /alguna/ruta PHP limitará las operaciones sobre ficheros al directorio especificado y sus subdirectorios: include (“/alguna/ruta/lib.inc”); // permitido include (“/otra/ruta/lib.inc”); // da error
  • 15. Subida de ficheros La subida de ficheros permite a un usuario enviar cualquier fichero al servidor, lo cual encierra un gran peligro ya que un atacante puede subir un código maligno y luego ejecutarlo, causando más daño que cuando se incluye el código desde un servidor remoto Como recomendación general, debe evitarse utilizar el nombre enviado por el navegador (podría ser, por ejemplo, /etc/passwd). Es conveniente generar un nombre único para el fichero subido
  • 16. Subida de ficheros Otro peligro es el tamaño de los ficheros. Aunque se limite el tamaño máximo en el formulario, los ficheros se reciben automáticamente y luego se comprueba su tamaño Es posible que un usuario intente provocar un ataque de denegación de servicio enviando varios ficheros de gran tamaño a la vez y llenando el sistema de ficheros utilizado por PHP para almacenarlos Para evitar esto se puede utilizar la directiva post_max_size de php.ini. El valor por defecto suele ser más elevado de lo necesario
  • 17. Subida de ficheros Sea ahora el siguiente código: if (file_exists($file)) // chequea la existencia en // el sistema local include (“$file”); Esto evitaría la inclusión de un fichero remoto aunque el atacante controlase la variable $file Sin embargo, el atacante podría crear su propio formulario usando el nombre file para el campo de tipo fichero y al enviarlo colocaría en el servidor un fichero cuyo código sería ejecutado
  • 18. Bibliotecas Es conveniente almacenar los ficheros de biblioteca fuera de la raíz de la web para evitar que puedan ser accedidos por su URL En tal caso debe hacerse saber a PHP la ubicación de los ficheros indicando la ruta completa en los include() y require() o bien mediante la directiva include_path en php.ini include_path = “.:/usr/local/php:/usr/local/lib/myapp” Esto es particularmente importante cuando en el código de la biblioteca aparecen passwords, como es el caso de las funciones de conexión con bases de datos
  • 19. Formularios Es recomendable validar todos los datos provenientes de formularios para asegurarse de que los valores recibidos son los esperados En general, cualquier información proveniente del exterior debe contemplarse como posiblemente contaminada y debe ser verificada antes de ser utilizada Sea el siguiente ejemplo: print (“Nombre: “ . $nombre); print (“Comentario: “ . $comentario);
  • 20. Formularios Si el autor del comentario introdujo algún código HTML en el texto del mismo, el código será interpretado y sus efectos podrían ser graves Para evitar esto se puede utilizar la función htmlspecialchars(), que impide que se interpreten los caracteres especiales de HTML (<, >, &) El código quedaría de la siguiente manera: print (“Nombre: “ . $nombre); print (“Comentario: “ . htmlspecialchars($comentario));
  • 21. Resumen De todo lo anterior podemos concluir las dos recomendaciones siguientes: – Configurar adecuadamente PHP a través del fichero php.ini – Seguir unas buenas prácticas en la programación Hay que tener en cuenta que cualquier cambio en la configuración de PHP afectará a los scripts de todos los usuarios y posiblemente a algunas herramientas, lo cual debe ser tenido en cuenta y estudiarse sus consecuencias antes de proceder a realizarlos