Consejos de seguridad en php

  • Autor Autor Karasu
  • Fecha de inicio Fecha de inicio
Karasu

Karasu

Delta
Programador
Verificación en dos pasos activada
Verificado por Whatsapp
Pues eso, estoy desarrollando un pequeño sistema que implementa un registro de usuario
y pues me gustaría que me dieran consejos/opinión para proteger mi sistema de ataques no deseados.

De que tipo de ataques debo proteger mi sistema?

Aclaro que mis conocimientos en php no son muchos, de hecho soy bastante novato todavía, pero en fin, cualquier consejo y/o opinión se agradece.

Saludos.
 
Hola Karasu:

Hay unas cuantas consideraciones de seguridad a tener en cuenta, una muy común es la inyección sql, algo más que te puedo decir es que intentes hacer el login a través de una conexión ssl, que no pases los datos sensibles por método GET, que valides todas las entradas del usuario y, si vas a hacer subida de archivos también te dejo estas recomendaciones.

Consúltame si te quedan dudas 😉
 
mchojrin dijo:
Hola Karasu:

Hay unas cuantas consideraciones de seguridad a tener en cuenta, una muy común es la inyección sql, algo más que te puedo decir es que intentes hacer el login a través de una conexión ssl, que no pases los datos sensibles por método GET, que valides todas las entradas del usuario y, si vas a hacer subida de archivos también te dejo estas recomendaciones.

Consúltame si te quedan dudas 😉
Hacer clic para expandir...

Hola, muchas gracias por los consejos. 🙂

Yo estoy haciendo el CRUD con medoo.in, crees que sea buena idea hacerlo con ese frameworks o lo mejor seria hacerlo a mano?

Respecto al método GET, hago uso de un form y desde este agrego el atributo method="POST", supongo que esta bien así por el momento, no?

Gracias de nuevo. Saludos.
 
Creo que si usas un framework te evitas muchos problemas de seguridad que si lo haces manualmente, obviamente todo depende de como lo implementes y tengas buenas prácticas. Sigue las recomendaciones que te da @mchojrin y bueno en mi opinión personal mejor hazlo con framework que a mano.
 
@Karasu no conozco medoo.in, no puedo opinar al respecto.

Sobre framework sí o framework no, diría que si la aplicación es medianamente compleja/grande, definitivamente sí. Si quieres leer un poco más en detalle escribí sobre esto aquí.

Por último, mi framework de referencia es Syfmony, siempre lo recomiendo.

Consúltame si te quedan dudas 🙂
 
mchojrin dijo:
@Karasu no conozco medoo.in, no puedo opinar al respecto.

Sobre framework sí o framework no, diría que si la aplicación es medianamente compleja/grande, definitivamente sí. Si quieres leer un poco más en detalle escribí sobre esto aquí.

Por último, mi framework de referencia es Syfmony, siempre lo recomiendo.

Consúltame si te quedan dudas 🙂
Hacer clic para expandir...

Vale mi estimado, se agradece la ayuda. Respecto a frameworks del tipo laravel o similar, no uso ninguno, pues mi idea es usar únicamente php puro (por lo menos lo que respecta a código que no tenga que ver con base de datos).

Gracias de nuevo. Saludos. 🙂
 
@Karasu ¿por qué quieres usar únicamente php puro?
 
mchojrin dijo:
@Karasu ¿por qué quieres usar únicamente php puro?
Hacer clic para expandir...
Más que nada para aprender mejor PHP, no creo que sea muy buena idea usar un frameworks como los mencionados sin antes tener bases sólidas en PHP.
 
Aprende a leer los logs.
Aprende a instalar y configurar modsecurity.
 
Aplicala el OWASP TOP 10, ahi te sacas el 90% de las vulns que se suele tener en PHP
 
Karasu dijo:
Más que nada para aprender mejor PHP, no creo que sea muy buena idea usar un frameworks como los mencionados sin antes tener bases sólidas en PHP.
Hacer clic para expandir...
Coincido. Te recomiendo aprender bien Programación Orientada a Objetos antes de ir a un framework... pero no te quedes mucho tiempo ahí, jajaja.

Para hacer desarrollos grandes un framework es casi imprescindible.

Saludos!
 
mchojrin dijo:
Coincido. Te recomiendo aprender bien Programación Orientada a Objetos antes de ir a un framework... pero no te quedes mucho tiempo ahí, jajaja.

Para hacer desarrollos grandes un framework es casi imprescindible.

Saludos!
Hacer clic para expandir...
Gracias mi estimado. Y sí, esa es la idea.

Saludos.
 
XSS, bypass en uploaders, etc...
 
No soy un desarrollador de PHP lo que uso es Nodejs pero de igual forma te puedo dar unos consejos, para el sistema de login si lo haces con Tokens tienes que hacer que expiren no puedes dejarlos por siempre lo mismo para las sessiones, las contraseñas deben de ser encryptadas siempre (Te recomiendo Bycript), tienes que indicarle al servidor cuales direcciones IP u otros servidores pueden hacerle consultas en Nodejs tenemos un modulo llamador cors que se encarga de esto, valida todos tus campos para que no inyecten código HTML o Javascript y de esta forma puedan hacer ataques xss de igual forma cuídate de las inyecciones SQL y noSQL
 
saludos, la mejor forma de asegurar tu sitio usando php es verificar todo, o sea verificar cada informacion que envie el cliente hacia el servidor.
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

A
Consejos de seguridad para cuentas personales en redes sociales
Respuestas
8
Visitas
236
perolitos
perolitos
Omega_proxy
Tutorial: Configuración de navegadores antidetección: Consejos de proxy para la seguridad y el scraping de múltiples cuentas
Respuestas
0
Visitas
33
Omega_proxy
Omega_proxy
L
Consejos de seguridad para evitar hackeos
Respuestas
6
Visitas
322
Lismary
L
fabgonber
Consejos para Seguridad en Cuenta Stripe y Evitar Baneos
2
Respuestas
30
Visitas
2K
Contreras2025
C
H
Seguridad en Ethereum: Aspectos y consejos clave
Respuestas
1
Visitas
152
BotBeta
BotBeta
Atrás
Arriba