1. Utiliza los parámetros de PDO o mysql_real_escape_string sobre valores SQL para evitar la inyección del SQL.
2. Utiliza htmlspecialchars/htmlentities/strip_tags para escapar HTML y Javascript así evitaras ataques XSS.
3. 3. Utiliza sesiones y asegura los sockets para prevenir que roben la sesión además almacena un símbolo especial md5 ej: md5(uniqueid(rand(),time)) en la sesión y comprobarla con un campo oculto en método POST y así prevenir que otro usuario ingrese.
   Ejemplo:

   if($_SESSION [’seguridadMd5′]==$_POST[’campoculto’]) {
   /*Sesión segura*/
   }

4. Usa escapeshellarg/escapeshellcmd cuando llames comandos exec para así evitar injección de comandos.
5. Quita los linebreaks (BR, P y BLOCKQUOTE tags) de headers entrantes para prevenir la terminación y la inyección de códigos. Fixed >PHP5.1
6. Utiliza comprobación md5 en valores y sessionid serializados para validar su integridad.

7. Utiliza el === para verificar valores de entrada (identidad de datos y de tipos).

7. Utiliza está configuración,

   * ini_set(”display_errors”,false);
   * ini_set(”log_errors”,true);
   * ini_set(”error_log”,”ruta/php.log”);
   * ini_set(”session.save_path”,”ruta/www”); o “mm” session module o store en sqllite db
   * php.ini expose_php=off
   * php.ini register_globals=off
   * Apache servertokens=prod

8. Para cambios de sesión usa session_regenerate_id.
9. Usa secure sockets SSL para trasacciones comerciales.

Perlas como esta son las que cada día ame más el escritorio de Linux. Y es que tengo que confesar que soy acérrimo a la tira de Dilbert.
No se si en la última actualización de los plugins de Avant-Window-Navigator he encontrado este que no hace más que servirte en bandeja las tiras de Dilbert, Peanuts, The Born Loser, Wizard of ID o xkcd. Dejándote además descargarlas a tu equipo.

Muchas veces cuando estás trabajando con aplicaciones web o standalone que trabajan contra Bases de datos te ves en la necesidad de hacer un volcado de tu BD para hacer un backup o para migrar la aplicación. El problema es que en Mysql y con columnas con tipos de datos text o varchar que continen datos con caracteres especiales como á, ó, ç o ñ, letras acentuadas, etc. al hacer el volcado descubres que aparecen simbolos extraños. Por ejemplo

'paseos'

resulta en un

âpaseosâ

en la base de datos y que escribe al renderizarlo un feo

€™paseos’

Esto se supone que es un problema popular cuando se está moviendo de MySQL 4.0 a 4.1 o posteriores, pero también aparece cuando estás moviendo los datos de una base de datos a otra en la misma instalación de MySQL. El mover de una instalación 4.1 a otra 4.1 también da como resultado “los caracteres locos”. Y para más INRI, me ha tocado en alguna ocasión hacer backups de bases de datos críticas en MySQL 5 con los mismos resultados.

Read the rest of this entry »

Con la taza siempre en la mano, Cafe-man, nunca me separo de este preciado líquido que tanto me relaja. En mi casa cuando estoy yo se hace una cafetera al día, eso sí grano molido en le momento y sin azucar, como los buenos cafeteros.