Tips de seguridad en PHP

30 November, 2007 | Comentario (2)

1. Utiliza los parámetros de PDO o mysql_real_escape_string sobre valores SQL para evitar la inyección del SQL.
2. Utiliza htmlspecialchars/htmlentities/strip_tags para escapar HTML y Javascript así evitaras ataques XSS.
3. Utiliza sesiones y asegura los sockets para prevenir que roben la sesión además almacena un símbolo especial md5 ej: md5(uniqueid(rand(),time)) en la sesión y comprobarla con un campo oculto en método POST y así prevenir que otro usuario ingrese.
Ejemplo:

if($_SESSION [’seguridadMd5′]==$_POST[’campoculto’]) {
/*Sesión segura*/
}

4. Usa escapeshellarg/escapeshellcmd cuando llames comandos exec para así evitar injección de comandos.
5. Quita los linebreaks (BR, P y BLOCKQUOTE tags) de headers entrantes para prevenir la terminación y la inyección de códigos. Fixed >PHP5.1
6. Utiliza comprobación md5 en valores y sessionid serializados para validar su integridad.
7. Utiliza el === para verificar valores de entrada (identidad de datos y de tipos).
8. Utiliza está configuración,

* ini_set(”display_errors”,false);
* ini_set(”log_errors”,true);
* ini_set(”error_log”,”ruta/php.log”);
* ini_set(”session.save_path”,”ruta/www”); o “mm” session module o store en sqllite db
* php.ini expose_php=off
* php.ini register_globals=off
* Apache servertokens=prod

9. Para cambios de sesión usa session_regenerate_id.
10. Usa secure sockets SSL para trasacciones comerciales.

Dilbert en Avant Window Navigator

28 November, 2007 | Comentarios (0)

Perlas como esta son las que cada día ame más el escritorio de Linux. Y es que tengo que confesar que soy acérrimo a la tira de Dilbert.
No se si en la última actualización de los plugins de Avant-Window-Navigator he encontrado este que no hace más que servirte en bandeja las tiras de Dilbert, Peanuts, The Born Loser, Wizard of ID o xkcd. Dejándote además descargarlas a tu equipo.

Migraciones en MySQL y caracteres especiales

26 November, 2007 | Comentario (2)

Muchas veces cuando estás trabajando con aplicaciones web o standalone que trabajan contra Bases de datos te ves en la necesidad de hacer un volcado de tu BD para hacer un backup o para migrar la aplicación. El problema es que en Mysql y con columnas con tipos de datos text o varchar que continen datos con caracteres especiales como á, ó, ç o ñ, letras acentuadas, etc. al hacer el volcado descubres que aparecen simbolos extraños. Por ejemplo
'paseos'
resulta en un
âpaseosâ
en la base de datos y que escribe al renderizarlo un feo
€™paseos’
Esto se supone que es un problema popular cuando se está moviendo de MySQL 4.0 a 4.1 o posteriores, pero también aparece cuando estás moviendo los datos de una base de datos a otra en la misma instalación de MySQL. El mover de una instalación 4.1 a otra 4.1 también da como resultado “los caracteres locos”. Y para más INRI, me ha tocado en alguna ocasión hacer backups de bases de datos críticas en MySQL 5 con los mismos resultados.

Leer más →

¿Hace un café?

20 November, 2007 | Comentarios (0)

Con la taza siempre en la mano, Cafe-man, nunca me separo de este preciado líquido que tanto me relaja. En mi casa cuando estoy yo se hace una cafetera al día, eso sí grano molido en le momento y sin azucar, como los buenos cafeteros.