sEGURANÇA php
:: Entrada
Página 1 de 1.
sEGURANÇA php
Queda de Faraó Miér Mar 14, 2012 3:50 am
En este tutorial vamos a mostrar algunos consejos útiles de seguridad en su sitio en PHP!
1. Evite colocar su conexión de base de datos de archivos en el mismo directorio en sus páginas web o el directorio usado para el incluye. Lo mejor que puedes hacer es poner en un directorio de la raíz del sitio.
2. A su vez en la configuración del servidor web que permite a la lista de archivos contenidos en los directorios que no tienen un index.php.
3. Evite el uso del nombre incluye el directorio donde se pone ese tipo de archivo.
4. En el directorio que se utiliza para poner sus archivos de inclusión, deje siempre una index.htm en blanco y un archivo index.php. Esto evitará que la lista de servidores el contenido de este directorio si la configuración está habilitada para listados.
5. Nunca utilice el inc. Para sus archivos de inclusión. Esto puede provocar que el servidor web muestra información importante contenida en estos archivos. Siempre utilice la extensión. Php. De esta manera el archivo siempre será procesado antes de ser entregados a los usuarios.
6. Apague el error_reporting en el servidor de producción. Errores en los scripts PHP suelen mostrar la ubicación física de los archivos en el servidor o mostrar las declaraciones enteras que están siendo utilizados para acceder a la base de datos, por ejemplo. Con error_reporting fuera, esta información no se mostrará.
7. Mediante la creación de un área de administración del sitio, evitar el uso de nombres obvios como administrador.
8. Sin embargo en el área administrativa misma, realizar los ajustes que obligaban a los usuarios cambiar su contraseña con frecuencia y no aceptan contraseñas simples. También evitar la creación de usuarios estándar como admin, administrador, admintrator como root.
9. En las formas que enviar los datos directamente al banco, teniendo cuidado de inyección de SQL. Para solucionar esto, la captura de datos y tratarlos con addslashes.
10. En los sistemas dinámicos, evite hacer scripts que eliminan los datos de la base de datos. Estado personal para uso de los registros y entonces construir un script que se encargará de la recogida de los datos que se deben eliminar.
11. No olvide que puede establecer el nivel de permisos del usuario que se utiliza para acceder a la base de datos. Si su sitio web sólo realiza consultas. Ponga en su archivo de conexión que sólo un usuario puede hacer SELECT en el banquillo.
12. En php.ini, que es el archivo de configuración de PHP, utilice el parámetro disable_functions para desactivar las funciones que pueden ser peligrosos, como exec (), eval (), readfile (), shell_exec (), system (), file () , fopen (), popen (), entre otros.
13. Sin embargo, en php.ini, permiten safe_mode.
14. Siempre desactivar el usuario root por defecto de MySQL, que cuenta con una contraseña en blanco.
15. Si utiliza alguna aplicación en el blog, chat, wiki, etc. No te olvides de quitar el archivo de instalación desde el directorio de la aplicación.
Fuente: STHELT
1. Evite colocar su conexión de base de datos de archivos en el mismo directorio en sus páginas web o el directorio usado para el incluye. Lo mejor que puedes hacer es poner en un directorio de la raíz del sitio.
2. A su vez en la configuración del servidor web que permite a la lista de archivos contenidos en los directorios que no tienen un index.php.
3. Evite el uso del nombre incluye el directorio donde se pone ese tipo de archivo.
4. En el directorio que se utiliza para poner sus archivos de inclusión, deje siempre una index.htm en blanco y un archivo index.php. Esto evitará que la lista de servidores el contenido de este directorio si la configuración está habilitada para listados.
5. Nunca utilice el inc. Para sus archivos de inclusión. Esto puede provocar que el servidor web muestra información importante contenida en estos archivos. Siempre utilice la extensión. Php. De esta manera el archivo siempre será procesado antes de ser entregados a los usuarios.
6. Apague el error_reporting en el servidor de producción. Errores en los scripts PHP suelen mostrar la ubicación física de los archivos en el servidor o mostrar las declaraciones enteras que están siendo utilizados para acceder a la base de datos, por ejemplo. Con error_reporting fuera, esta información no se mostrará.
7. Mediante la creación de un área de administración del sitio, evitar el uso de nombres obvios como administrador.
8. Sin embargo en el área administrativa misma, realizar los ajustes que obligaban a los usuarios cambiar su contraseña con frecuencia y no aceptan contraseñas simples. También evitar la creación de usuarios estándar como admin, administrador, admintrator como root.
9. En las formas que enviar los datos directamente al banco, teniendo cuidado de inyección de SQL. Para solucionar esto, la captura de datos y tratarlos con addslashes.
10. En los sistemas dinámicos, evite hacer scripts que eliminan los datos de la base de datos. Estado personal para uso de los registros y entonces construir un script que se encargará de la recogida de los datos que se deben eliminar.
11. No olvide que puede establecer el nivel de permisos del usuario que se utiliza para acceder a la base de datos. Si su sitio web sólo realiza consultas. Ponga en su archivo de conexión que sólo un usuario puede hacer SELECT en el banquillo.
12. En php.ini, que es el archivo de configuración de PHP, utilice el parámetro disable_functions para desactivar las funciones que pueden ser peligrosos, como exec (), eval (), readfile (), shell_exec (), system (), file () , fopen (), popen (), entre otros.
13. Sin embargo, en php.ini, permiten safe_mode.
14. Siempre desactivar el usuario root por defecto de MySQL, que cuenta con una contraseña en blanco.
15. Si utiliza alguna aplicación en el blog, chat, wiki, etc. No te olvides de quitar el archivo de instalación desde el directorio de la aplicación.
Fuente: STHELT
Queda de Faraó- Moderador
- Mensajes : 11
Fecha de inscripción : 13/03/2012
:: Entrada
Página 1 de 1.
Permisos de este foro:
No puedes responder a temas en este foro.|
|
|