Seguridad en PHP y MySQL

PHPAunque poco se ha hablado en estas páginas de programación web del lado del servidor, hace unos meses descubrimos algunas funciones de PHP que, aunque poco frecuentes, nos pueden ser muy útiles a la hora de programar ciertos procedimientos.

Esta semana, en Security By Default, nos recordaban varias recomendaciones para securizar nuestras aplicaciones web a nivel de programación en PHP, evitando inyecciones SQL, XSS, CSRF, RFI, y problemas de seguridad en sesiones. Ya nos habían hablado anteriormente de una vulnerabilidad RFI en el sitio web de AT&T que dejaba el /etc/password del server vendido.

Hoy además han incidido con un artículo muy interesante en las inyecciones de código SQL mediante caracteres de escape.

Para empezar con la seguridad en PHP, es recomendable empezar a practicar comprobaciones de sesión como las que nos enseñan en DesarrolloWeb.com, válidas para programaciones procedurales pero que en POO pueden resultar en exposición de datos ya que el motor de PHP pre-interperta ciertos objetos (ojo con FPDF).

Un buen paso es seguir una checklist de seguridad en PHP muy completa  como que la que publica skq89q.com

Gotardo González
Nací en Granada en 1983 pero desde hace un tiempo vivo en tierras extremeñas. Desde hace unos años soy desarrollador de aplicaciones web y actualmente trabajo como freelance.