LinuxParty

NUESTRO SITIO necesita la publicidad para costear hosting y el dominio. Por favor considera deshabilitar tu AdBlock en nuestro sitio. También puedes hacernos una donación entrando en linuxparty.es, en la columna de la derecha.

Top Ten de vulnerabilidades de seguridad en Código PHP!

| Correo electrónico | Visto: 4523
Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 
register_globals
Lo más importante, desactivalo, está en /etc/php.ini, o su similar en Windows.

Así como... 
Esta opción de configuración por defecto debe desactivarse en PHP 4.2.0 y

posteriores. Accesos a valores de URLs, formularios y cookies

través de las matrices superglobales



$_GET, $_POST, y $_COOKIE.
Antes de usar los valores de las matrices superglobales, validamos para asegurarnos de que no contienen entradas inesperadas. Si usted sabe qué tipo de valor se espera, asegúrese de que lo que tenemos previsto, y se ajusta a un formato. Por ejemplo, si usted está esperando un código postal de EE.UU., asegúrese de que su valor sea cinco dígitos o un guión y cuatro dígitos más (ZIP +4). A menudo, las expresiones regulares son la manera más fácil de validar los datos:

if (preg_match('/^d{5}(-d{4})?$/',$_GET['zip'])) {
    $zip = $_GET['zip'];
} else {
    die('Invalid ZIP Code format.');
}
Si usted está esperando a recibir datos en una cookie o un campo de formulario oculto que has enviado anteriormente a un cliente, asegúrese de que no ha sido manipulado por el envío de un hash de los datos y una palabra secreta, junto con los datos . Ponga el hash en un campo oculto (o en la cookie), junto con los datos. Cuando reciba los datos y el hash, re-hash los datos y asegúrese de que el nuevo hash coincida con el anterior:

// sending the cookie
$secret_word = 'gargamel';
$id = 123745323;
$hash = md5($secret_word.$id);
setcookie('id',$id.'-'.$hash);
// receiving and verifying the cookie
list($cookie_id,$cookie_hash) = explode('-',$_COOKIE['id']);
if (md5($secret_word.$cookie_id) == $cookie_hash) {
    $id = $cookie_id;
} else {
    die('Invalid cookie.');
}
Si un usuario ha cambiado el valor ID en la cookie, los hash no coincidirán. El éxito de este método, obviamente, depende de mantenimiento.

$secret_word
secret, a fin de ponerlo en un archivo que no puede ser leído por cualquier persona y cambiarla periódicamente. (Pero recuerde, que al cambiar, los hashes viejos podrían ser retenidos en las cookies y ya no serán válidos.)

Ver también:

* Manual de PHP: Uso de Register Globals
* PHP Cookbook: Receta 9.7 ( "Asegurando formularios PHP de Tramitación"), Receta 14.3 ( "Verificación de datos con Hashes")

El resto del artículo, en Inglés Original.

Traducido por Yahoo!

Traducido por Google!

Traducido por Live!

No estás registrado para postear comentarios

Categoría: Programación

Relacionados


Redes:


   

 

Hosting, económico, barato y de alta calidad

Suscribete / Newsletter

Suscribete a nuestras Newsletter y periódicamente recibirás un resumen de las noticias publicadas.

El Top de LinuxParty

Donar a LinuxParty

Probablemente te niegues, pero.. ¿Podrías ayudarnos con una donación?


Tutorial de Linux

Últimos comentarios

Filtro por Categorías

Designed by ExtreHost.