En la actualidad, el Internet es robusto y se extiende taaaanto, hay personas que quieren fastidiar y son maliciosas. Eso resume bastante bien por qu\u00e9 <\/span>deber\u00edas asegurar todo. <\/span><\/a>La seguridad de PHP ya no es una opci\u00f3n; es una necesidad. Los sitios son hackeados a diario y a medida que construyes un sitio usando PHP, debes saber c\u00f3mo mantenerlo a salvo de los malos<\/span>.<\/span><\/p>\n\n\n\n La seguridad de PHP, como su nombre lo indica, est\u00e1 asegurando tu sitio en PHP para ayudar a evitar que los delincuentes obtengan acceso no autorizado a los datos de tu sitio. Te ayuda a mantener la integridad de tus datos y garantiza su disponibilidad seg\u00fan sea necesario. Puedes comenzar a hacer esto en PHP validando y desinfectando los datos en tu p\u00e1gina web, que es lo que compartiremos en este art\u00edculo.<\/span><\/p>\n\n\n\n Dado que esta es una publicaci\u00f3n para principiantes sobre validaci\u00f3n b\u00e1sica y desinfecci\u00f3n, quieres obtener m\u00e1s informaci\u00f3n sobre c\u00f3mo <\/span>mantener un sitio seguro.<\/span><\/a> Como dice el Maestro Yoda: <\/span>“Mucho que aprender, todav\u00eda tienes”<\/span><\/i>.<\/span><\/i><\/p>\n\n\n\n Validar la informaci\u00f3n de usuario es el primer y m\u00e1s importante paso para asegurar tu sitio. Validar significa verificar que los datos que ingresan a tu script son el tipo de datos que deseas, est\u00e1n en el formato correcto y tienen la longitud correcta. Sin verificar esto, tu sitio es vulnerable. <\/span><\/p>\n\n\n\n Dependiendo de lo que haga tu script, puedes hacer que el sitio se caiga, muestre informaci\u00f3n incorrecta, otorgue a los malos acceso a obtener informaci\u00f3n de los usuarios y mucho m\u00e1s.<\/span><\/p>\n\n\n\n El primer paso para validar tus datos es saber qu\u00e9 datos deben ingresar. Si alguien est\u00e1 tratando de hackear tu sitio, pueden ingresar datos adicionales. Y s\u00ed est\u00e1s aceptando cualquier informaci\u00f3n que ingrese, entonces es vulnerable porque permitimos que las personas hagan lo que quieran.<\/span><\/p>\n\n\n\n Imagina que tienes un formulario de usuario que acepta agregar comentarios en una p\u00e1gina. Tienes campos para que alguien agregue un comentario que incluya su nombre, direcci\u00f3n de correo electr\u00f3nico, comentario y un campo oculto del ID de la p\u00e1gina que est\u00e1 comentando. Cuando el usuario env\u00eda un comentario, un script procesa el comentario y lo agrega a una base de datos.<\/span><\/p>\n\n\n\n Ahora que tenemos una idea de qu\u00e9 informaci\u00f3n llegar\u00e1 a nuestro script, debemos verificar que tenemos los datos correctos, el tipo de datos, un l\u00edmite en la longitud de los datos y que no estemos usando nada m\u00e1s all\u00e1 de los datos que necesitamos.<\/span><\/p>\n\n\n\n Dado que este formulario de comentarios se enviar\u00e1 a nuestro script como una variable <\/span>POST<\/span><\/a>, no queremos recorrer cada campo del POST sin saber qu\u00e9 es lo que queremos. Aqu\u00ed hay un ejemplo de una variable POST que se env\u00eda a nuestro script:<\/span><\/p>\n\n\n\n Esto muestra que tenemos exactamente los datos que solicitamos, pero si un hacker inform\u00e1tico desea agregar informaci\u00f3n adicional (como un campo extra), entonces podr\u00eda haber posibilidades de corromper tu sitio. Para un formulario como este, recomiendo nombrar a cada campo, para que sepas que solo est\u00e1 utilizando lo que necesita tu script. Por ejemplo, en lugar de recorrer <\/span>$_POST<\/span><\/a>, puedes nombrar a cada campo de esta manera:<\/span><\/p>\n\n\n\n Esto ayudar\u00e1 a aceptar s\u00f3lo los datos que est\u00e1s esperando e ignorar el resto.<\/span><\/p>\n\n\n\n A continuaci\u00f3n, debes saber cu\u00e1les se supone que son los datos. Por ejemplo, el $_POST[ \u2018page_ID\u2019 ] va a ser un n\u00famero entero, porque es solo una identificaci\u00f3n de p\u00e1gina que es un n\u00famero. Entonces, sabemos que no queremos aceptar caracteres o letras especiales para esto. Sabemos que $_POST[ \u2018email\u2019 ] es una direcci\u00f3n de correo electr\u00f3nico, por lo que queremos verificar el formato para asegurarnos de que sea una direcci\u00f3n de correo electr\u00f3nico v\u00e1lida. En este ejemplo, pondremos que no queremos permitir comentarios de m\u00e1s de 256 caracteres<\/span>.<\/span><\/p>\n\n\n\n \u00bfTe preguntas c\u00f3mo DreamHost mantiene seguro tu sitio web?<\/i><\/b> Echa un vistazo a estas preguntas y respuestas con nuestro Director de Tecnolog\u00eda<\/i><\/b>.<\/span><\/i><\/a><\/p>\n\n\n\n Ahora que sabemos qu\u00e9 datos estamos aceptando, y sabemos lo que est\u00e1 permitido ser, verifiquemos el tipo de datos que ingresan.<\/span><\/p>\n\n\n\n La mayor\u00eda de los datos que provienen de una publicaci\u00f3n se consideran una cadena. A veces puedes tener campos como moneda entrante o una ID de p\u00e1gina (como en este ejemplo), que sabemos que solo se supone que es un n\u00famero.<\/span><\/p>\n\n\n\n Primero, cuando recibimos datos, queremos verificar si los datos que necesitamos est\u00e1n all\u00ed. Entonces, queremos verificar si realmente tiene algo all\u00ed. Aqu\u00ed hay una manera de verificar si un campo realmente lleg\u00f3.<\/span><\/p>\n\n\n\n Aqu\u00ed verificamos si el nombre est\u00e1 all\u00ed con la funci\u00f3n <\/span>isset()<\/span><\/a>. Esto confirma si la variable est\u00e1 all\u00ed y tambi\u00e9n verifica que la variable no sea NULL. Tambi\u00e9n introduje otras dos funciones <\/span>strip_tag()<\/span><\/a> y <\/span>trim()<\/span><\/a>. La funci\u00f3n <\/span>strip_tags()<\/span><\/a> elimina todas las etiquetas HTML y PHP de una variable. Como sabemos que ese nombre es solo el nombre de una persona y no necesita enlaces, o posiblemente c\u00f3digo malicioso, no necesitamos ninguna etiqueta. Entonces, si una persona agregara <a href=\u201dhttp:\/\/www.google.com\u201d>Jerry<\/a>, solo permitir\u00eda asignar la cadena “Jerry” a la variable. La funci\u00f3n <\/span>trim()<\/span><\/a> simplemente elimina cualquier espacio en blanco desde el principio y el final de la cadena (Nota: si observas esta funci\u00f3n en el sitio web de PHP, puedes obtener informaci\u00f3n sobre otros caracteres que puedes eliminar con esta funci\u00f3n. <\/span>P<\/span>ara esta pu<\/span>blicaci\u00f3n<\/span>, sin embargo, solo estamos quitando el espacio en blanco).<\/span><\/p>\n\n\n\n A continuaci\u00f3n, verificaremos el tipo de ID de nuestra p\u00e1gina. T\u00e9cnicamente, esto se puede hacer de dos maneras (hay algunas otras que no revisar\u00e9 en esta publicaci\u00f3n). Primero, podemos probar si el ID de la p\u00e1gina es un n\u00famero entero usando esto:<\/span><\/p>\n\n\n\n Esto utiliza la funci\u00f3n <\/span>is_int()<\/span><\/a> de PHP para probar si $_POST[ \u2018page_id\u2019 ] es en realidad un n\u00famero entero. Si es as\u00ed, entonces asigna la variable a $pageID. Hay funciones similares que puedes usar, <\/span>is_bool()<\/span><\/a>, <\/span>is_float()<\/span><\/a>, <\/span>is_numberic()<\/span><\/a> y algunas otras.<\/span><\/p>\n\n\n\n La otra forma de hacer esto es asignar $_POST[ \u2018page_ID\u2019 ] a la variable usando el <\/span>forzado de tipos.<\/span><\/a><\/p>\n\n\n\n Aqu\u00ed hay un ejemplo:<\/span><\/p>\n\n\n\n El uso de (int) obliga al page_ID a ser un n\u00famero entero. Entonces, si el valor que ingresas es una cadena, en lugar de un n\u00famero entero, lo forzar\u00e1 a ser un n\u00famero entero o cero (0) si no es un n\u00famero entero. Luego, podr\u00edas probar si el valor es igual a 0 y devolver un error si lo es.<\/span><\/p>\n\n\n\n Ahora, echemos un vistazo a la secci\u00f3n de comentarios. La secci\u00f3n de comentarios podr\u00e1 agregar etiquetas, en caso de que alguien quiera agregar un enlace, por lo que no queremos usar la funci\u00f3n <\/span>strip_tags()<\/span><\/a>, ya que esto eliminar\u00eda su etiqueta <a>. Para lograr esto, utilizaremos la funci\u00f3n <\/span>htmlentities()<\/span><\/a>. Esta funci\u00f3n convierte caracteres en entidades HTML. Por ejemplo, el car\u00e1cter \u2018<\u2019 se traducir\u00eda a \u2018& lt;\u2019. Aqu\u00ed hay un ejemplo de c\u00f3mo hacemos esto para la secci\u00f3n de comentarios:<\/span><\/p>\n\n\n\n Aqu\u00ed, verificamos si el campo de comentarios lleg\u00f3, y si lo hizo, lo asignamos a la variable $comment usando <\/span>htmlentities()<\/span><\/a>. Por lo tanto, si se incluyen etiquetas, estas se convertir\u00e1n. Digamos que alguien agrega el enlace:<\/span><\/p>\n\n\n\n Despu\u00e9s de que pasa por la funci\u00f3n <\/span>htmlentities()<\/span><\/a> anterior, ser\u00e1 esto:<\/span><\/p>\n\n\n\n Esto est\u00e1 utilizando la opci\u00f3n ENT_NOQUOTES. Si echas un vistazo a esta funci\u00f3n en el sitio web de PHP, hay otras opciones, dependiendo de lo que quieras hacer<\/span>.<\/span><\/p>\n\n\n\n Esto puede no parecer cr\u00edtico, pero verificar la longitud de las variables es bastante importante. Sin verificar las variables, un usuario podr\u00eda causar problemas de desbordamiento del b\u00fafer. No solo eso, sino que si tienes una tabla en tu base de datos con el nombre como comentario, y solo puedes tener 256 caracteres. Si un usuario escribe 356 caracteres, parte de su publicaci\u00f3n se cortar\u00e1. Si verificas la longitud, puedes informar al usuario que necesita acortar su comentario.<\/span><\/p>\n\n\n\n Para verificar la longitud de una cadena, usa la funci\u00f3n <\/span>strlen()<\/span><\/a>. Esta funci\u00f3n te devuelve la longitud de una cadena. Aqu\u00ed hay un ejemplo:<\/span><\/p>\n\n\n\n Aqu\u00ed, verificamos si la longitud de $_POST[ \u2018comment\u2019 ] es m\u00e1s corta o igual a 256. Si es as\u00ed, la asignamos a la variable. Otra opci\u00f3n para verificar que la longitud de la cadena es suficiente para ser un comentario es algo como esto:<\/span><\/p>\n\n\n\n Esto verifica que la longitud del comentario sea m\u00e1s de un car\u00e1cter<\/span>.<\/span><\/p>\n\n\n\n Asegurarse de que el formato sea apropiado es importante para verificar que la informaci\u00f3n pueda usarse correctamente m\u00e1s adelante, pero tambi\u00e9n para el control de errores en el sitio. En esta publicaci\u00f3n, usaremos la funci\u00f3n PHP <\/span>preg_match()<\/span><\/a> con expresiones regulares para lograr esto.<\/span><\/p>\n\n\n\n Antes de entrar en los comandos reales que usaremos, quer\u00eda mencionar que no explicar\u00e9 las expresiones regulares en esta publicaci\u00f3n. Si quieres obtener m\u00e1s informaci\u00f3n, hay tutoriales en l\u00ednea. Para esta publicaci\u00f3n, tomaremos nuestras expresiones regulares de <\/span>http:\/\/regexlib.com<\/span><\/a>, que tiene bastantes expresiones regulares que puedes usar.<\/span><\/p>\n\n\n\n La funci\u00f3n <\/span>preg_match()<\/span><\/a> busca, en una variable, un patr\u00f3n de expresi\u00f3n regular para ver si coincide. Por ejemplo, verifiquemos si nuestra direcci\u00f3n de correo electr\u00f3nico es v\u00e1lida:<\/span><\/p>\n\n\n\n Esto toma una expresi\u00f3n regular, que en este caso es \u2018^[w-.]+@([w-]+.)+[w-]{2,4}$\u2019 , y comprueba el $_POST[ \u2018email\u2019 ] para verificar que coincida con ese patr\u00f3n. Seg\u00fan el sitio regexlib.com, coincidir\u00e1 con los siguientes formatos:<\/span><\/p>\n\n\n\n joe@aol.com | joe@wrox.co.uk | joe@domain.info<\/span><\/p>\n\n\n\n Si el usuario no usa uno de los formatos anteriores, devolver\u00e1 falso, y la variable $emailAddress no recibir\u00e1 la direcci\u00f3n de correo electr\u00f3nico asignada. <\/span>preg_match()<\/span><\/a> permite verificar el formato de cualquier variable, siempre que la expresi\u00f3n regular sea correcta. Para usarlo, puedes hacer lo anterior:<\/span><\/p>\n\n\n\n Cuando lo uses de esta forma, aseg\u00farate de agregar las barras diagonales delante y detr\u00e1s de la expresi\u00f3n regular como se muestra arriba.<\/span><\/p>\n\n\n\n Las expresiones regulares son bastante poderosas y se pueden usar para probar muchos patrones diferentes. Puedes probar todo, desde n\u00fameros de tel\u00e9fono hasta los tipos de caracteres. Echa un vistazo a <\/span>http:\/\/regexlib.com<\/span><\/a> para ver m\u00e1s patrones que puedes usar<\/span>.<\/span><\/p>\n\n\n\n La desinfecci\u00f3n de datos es otro elemento esencial de la seguridad de PHP. En nuestra \u00faltima secci\u00f3n, validando la entrada del usuario y algo de desinfecci\u00f3n, desinfectamos un poco como parte de la limpieza. Validamos nuestros datos verificando si coincid\u00edan con los datos que quer\u00edamos. Aqu\u00ed hay dos consejos m\u00e1s para ayudar a proteger tu sitio de los malos<\/span>.<\/span><\/p>\n\n\n\n \u00bfQu\u00e9 es la inyecci\u00f3n de MySQL? B\u00e1sicamente, es cuando los malos intentan manipular tu sitio para agregar SQL a <\/span>t<\/span>u comando SQL para obtener m\u00e1s informaci\u00f3n, modificar o eliminar cosas de tu base de datos. Aqu\u00ed hay un ejemplo de una inyecci\u00f3n SQL simple:<\/span><\/p>\n\n\n\n\u00bfQu\u00e9 es la seguridad de PHP?<\/b><\/h2>\n\n\n\n
Validaci\u00f3n de informaci\u00f3n de usuario y algo sobre desinfectar.<\/b><\/h2>\n\n\n\n
Conoce los datos entrantes<\/h3>\n\n\n\n
Array<\/span><\/code><\/p>\n\n\n\n(<\/span><\/code><\/p>\n\n\n\n[name] => Jerry<\/span><\/code><\/p>\n\n\n\n[email] =>jerryw@fake.dreamhost.com<\/span><\/code><\/p>\n\n\n\n[comment] => This is a test comment that is coming to our site<\/span><\/code><\/p>\n\n\n\n[submit] => Post Comment<\/span><\/code><\/p>\n\n\n\n[page_ID] => 37<\/span><\/code><\/p>\n\n\n\n)<\/span><\/code><\/p>\n\n\n\n$_POST[ \u2018name\u2019 ]<\/span><\/code><\/p>\n\n\n\n$_POST[ \u2018email\u2019 ]<\/span><\/code><\/p>\n\n\n\nVerificaci\u00f3n del tipo de datos y limpieza<\/h3>\n\n\n\n
if ( isset( $_POST[ \u2018name\u2019 ] ) )<\/span><\/code><\/p>\n\n\n\n$name = strip_tags( trim( $_POST[ \u2018name\u2019 ] ) );<\/span><\/code><\/p>\n\n\n\nif ( is_int( $_POST[ \u2018page_ID\u2019 ] ) )<\/span><\/code><\/p>\n\n\n\n$pageID = $_POST[ \u2018page_ID\u2019 ];<\/span><\/code><\/p>\n\n\n\n$pageID = (int) $_POST[ \u2018page_ID\u2019 ];<\/span><\/code><\/p>\n\n\n\nif ( isset( $_POST[ \u2018comment\u2019 ] ) )<\/span><\/code><\/p>\n\n\n\n$comment = htmlentities ( trim ( $_POST[ \u2018comment\u2019 ] ) , ENT_NOQUOTES );<\/span><\/code><\/p>\n\n\n\n<a href=\u201dhttps:\/\/www.dreamhost.com\/\u201d>Awesome Hosting<\/a><\/span><\/code><\/p>\n\n\n\n<a href=\u201dhttps:\/\/www.dreamhost.com\/\u201d>Awesome Hosting<\/a><\/span><\/code><\/p>\n\n\n\nComprobando la longitud de las variables<\/h3>\n\n\n\n
if ( strlen( $_POST[ \u2018comment\u2019 ] ) <= 256 )<\/span><\/code><\/p>\n\n\n\n$comment = htmlentities ( trim ( $_POST[ \u2018comment\u2019 ] ) , ENT_NOQUOTES );<\/span><\/code><\/p>\n\n\n\nif ( strlen( $_POST[ \u2018comment\u2019] ) >= 1 && strlen( $_POST[ \u2018comment\u2019 ] ) <= 256 )<\/span><\/code><\/p>\n\n\n\n$comment = htmlentities ( trim ( $_POST[ \u2018comment\u2019 ] ) , ENT_NOQUOTES );<\/span><\/code><\/p>\n\n\n\n\u00bfEs el formato correcto desde usuario?<\/h3>\n\n\n\n
if ( preg_match( \u2018\/^[w-.]+@([w-]+.)+[w-]{2,4}$\/\u2019, $_POST[ \u2019email\u2019 ] ) )<\/span><\/code><\/p>\n\n\n\n$emailAddress = trim( $_POST[ \u2019email\u2019 ] );<\/span><\/code><\/p>\n\n\n\nif ( preg_match( \u2018\/<ENTER EXPRESSION HERE>\/\u2019, <INSERT VARIABLE HERE> ) )<\/span><\/code><\/p>\n\n\n\nDesinfectar tus datos: Un poco m\u00e1s de informaci\u00f3n<\/b><\/h2>\n\n\n\n
Inyecci\u00f3n MySQL<\/h3>\n\n\n\n
$userID = $_POST[ \u2018user_id\u2019 ]; \/\/ This is a value of \u201c\u2018 OR 1\u2032\u201d;<\/span><\/code><\/p>\n\n\n\n