PHP - ¿Cómo implementar seguridad en PHP?

Si pudieran pasarme algunos trucos para evitar inyecciones SQL, ataques XSS, inyección PHP e inyección HTML, además de algunos trucos para evitar manipulación de la URL y un buen método para encriptar contraseñas además de los hash ya conocidos.

Gracias de antemano.

Hola Max, las inyecciones SQL varian dependiendo del conector que utilices y el motor de base de datos...

Que base de datos vas a utilizar, y con que conector? por ejemplo, si utilizas el conector PDO con los interrogantes, ya te aseguras de no tener inyection, o si utilizas las base de datos MongoDB, tampoco vas a tener.

Un ejemplo de PDO sacado de la página de PHP:

Utilizo MySQL como lenguaje de consulta, ¿cómo podría evitar las inyecciones SQL?

Con el ejemplo que te puse lo evitas...

Ok, ya entiendo; gracias.

Buenas: Añado mi corta experiencia en esto.

Si utilizas algun framework esto pueden venir ya echo, asi que solo tienes que seguir las pautas que te marquen.

Una vez escuche decir a alguien que hay que utilizar GET y POST para lo que son. No envies datos, a ser posible ya que luego en la practica hacemos las cosas como las hacemos, por GET sino es para listar y cosas por el estilo. Usa POST para modificar cosas en el servidor.

No uses solamente javascript para validar los campos en el cliente y pienses que ya vienen bien....

Usa mysqli en vez de mysql ya que este ultimo esta siendo sustituido por el primero.

En fin, es poco lo que pongo pero para el que no sepa estas cosas....

Saludos.

Gracias por el dato, había leído sobre mysqli pero como este se usa más en POO (y aún no la domino) no lo he visto a fondo, empezaré a usarlo desde ahora.

Para los ataques XSS, lo suyo es utilizar htmlentities(), de esta manera, nunca ejecutaras código de javascript o html.

No se muy bien a que te refieres con manipulación de la URL... nos puedes comentar con mas detalle?

Me refiero a manipular las variables pasadas por el metodo GET en caso de que alguien descubra los criterios para pasar las variables.

Nosotros siempre sanitizamos las variables que nos vienen del navegador, tanto las que vienen por get como por post, ya que todas son susceptibles de modificar una vez se han enviado del formulario y antes de recibirlas en el servidor.

Sanitizar los valores, quiere decir, que te aseguras que si esperas un entero, sea un entero, y si esperas una cadena, solucione el problema de las comillas, etc...

Revisa esta clase:
http://www.lawebdelprogramador.com/codigo/PHP/2208-Clase-para-sanitizar-los-parametros-de-un-formulario.html

En este punto, yo utilizo el md5 con una key... me explico.

Código la contraseña del usuario con md5 añadiendole una cadena siempre fija que unicamente nosotros sabemos.
por ejemplo, el usuario pone como contraseña cielo, entonces, nosotros añadimos nuestra key a la cadena, supongamos que nuestra key es: asklfhweoalksdf

md5("asklfhweoalksdf"."cielo");

De esta manera, aunque consigan recuperar la lista de contraseñas, si no disponen de la key, no podrán acceder nunca.

Espero que te sirva.

acerca de la inyeccion sql.

hay varias utilerias en php que te ayudar a evitar este tipo de problemas.

y tambien tu puedes crear tu propia funcion para detectar y evitar inyecciones sql.

solo debes entender la mecanica del inyection en un punto muy fundamental:

es tu propia propia pagina la que hace la inyeccion, asi que eres tu quien facilita el trabajo del hacker.

hay mucha documentacion acerca de esto pero te lo voy a comentar de manera basica

todo esta en encontrar el punto en el que puedes manipular el string que contiene el comando sql.

algo tan simple como:

$UserId=$_POST["TexUserid"];
sql command = "select * from usuarios where userid=" & $UserId & "'";

esto puede permitir tantas inyecciones sql como el hacker quiera, borrar, insertar, modificar, etc, ya que UserId es manipulable de esta forma

$_POST["TexUserId"]="0'; delete from usuarios; -- (esto fue lo que se capturo en el campo de texto del id del usuario)

la cadena sql que ejecuta tu pagina web queda asi

select * from usuarios where idusuario='0'; delete * from usuarios; --'

asi de sencillo.

que tienes que hacer?
validar que no capturen --
validar que no capturen ;
validar que no capturen delete, execute, drop, insert, create, from, join etc.
y algo que me ha ayudado bastante para evitar esto es:

limita el TextBox al numero maximo indispensable del dato que se debe capturar.

si el userid es de 8 digitos limita el textbox a 8 digitos, eso dificulta el inyection.
si el textbox es para capturar un numero validalo a que solo haya numeros, +-,
si es un nombre, limitalo solo a texto.

cualquier caracter detectado como no permitido debe borrar loq ue se capturo ANTES de ejecutar el query

$UserId=""; (y se acabo)

de ahi en mas, usa tu imaginacion, piensa como hacker y reduciras las posibilidades de hack.

2 cocineros que siguen una misma receta da como resultado 2 pasteles iguales ... la experiencia de los cocineros se detecta con solo probar los pasteles.

y para encryptar contrase;as no han dada mejor que el hash

Buena explicación Gonzalo!!