Desarrollo y diseño

Registro alta/baja de datos en php/sql [APORTE]

n1x3r
n1x3r #61 Sep '12

Existe otra manera de tratar las magic quotes mediante el propio servidor modificando el php.ini y activando magic_quotes_gpc, magic_quotes_runtime y magic_quotes_sybase.

Esto se lo puse a un cliente que trabajaba en su web con código de otros programadores de código dudoso, y para evitar faltas de seguridad active estas opciones, esto mete \ en todas las magic quotes evitando el sql injection.

Estas funciones influían en la entrada de datos mediante GET, POST y cookies.

Lo que no se es la compatibilidad con la versión actual de PHP que creo que la modificaban cambiándole el nombre a la opción, creo.

Pero es otra buena manera de evitar fallos de seguridad.

1 respuesta
Soltrac
Soltrac #62 Sep '12 MV Wizard

#61 Deprecated en 5.3.0 y lo eliminan en la 5.4.0 porque no es seguro. Dicho sea de pason tb eliminan safe_mode y register_globals.

glolg
glolg #63 Sep '12

está bien saber que no disminuye ninguna vulnerabilidad, no obstante si que puedes "tapar" y "forzar" entradas por GET para que no se pueda modificar mediante la url. Lo que no conseguirás nada especial salvo obligar al usuario a navegar únicamente a través del formato aplicado a la dirección. A no ser supongo que averigüen la dirección original a través de un wireshark o similar.
corregidme si me equivoco , que me interesa bastante el tema de seguridad enfocado a la vista final que tendrá el usuario.

n1x3r
n1x3r #64 Sep '12

En realidad no existe la formula perfecta e invulnerable. Aun me acuerdo de los ataques por desbordamiento de pila jaja. Lo mejor que puedes hacer, y lo que sigo yo es ver la forma de tratar las entradas de los sistemas más utilizados, joomla, wordpress, y otros cms muy distribuidos y con actualizaciones constantes ya que estos son los que siempre estaran a al ultima en seguridad.

S
Sarwaz #65 Sep '12

#60 Vaya afirmacion mas radical. Con un htaccess bien configurado puedes filtrar todos los inputs, con lo cual puedes evitar muchos ataques y sobre todo de sqli.

1 respuesta
HeXaN
HeXaN #66 Sep '12

Que digo yo que podríamos usar este tema: http://www.mediavida.com/foro/9/seguridad-en-aplicaciones-web-453370

Más que nada para tener todo en un sitio y que sea de fácil acceso para todos, no cuesta nada darle click y postear ahí xD

elkaoD
elkaoD #67 Sep '12

#65 se refieren no a .htaccess sino a RewriteRules (véase #55)

Aún así, el .htaccess no sé muy bien cómo lo usarías para filtrar entradas si no es con hackeos raros que en realidad pertenecen a código y no al servidor web (que lo hacen LEEEEEENTO porque no está preparado para ello.)

Usuarios habituales

  • elkaoD
  • HeXaN
  • n1x3r
  • Soltrac
  • eXtreM3
  • BLZKZ
  • tOWERR

Tags