elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: (TUTORIAL) Aprende a emular Sentinel Dongle By Yapis


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web
| | |-+  PHP (Moderador: #!drvy)
| | | |-+  Programacion Segura con PHP [Olvidate de limpiar tus variables]
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: Programacion Segura con PHP [Olvidate de limpiar tus variables]  (Leído 18,141 veces)
yeikos


Desconectado Desconectado

Mensajes: 1.424



Ver Perfil
Re: Programacion Segura con PHP [Olvidate de limpiar tus variables]
« Respuesta #10 en: 5 Septiembre 2007, 05:09 am »

¿Programación segura con PHP? La solución no es filtrar todas las variables, la solución es saber como tratar las variables, por ejemplo...

Con tú código, yo no podría publicar una noticia y citarla con comillas simples, ni tampoco podría hacer una pequeña aclaración con punto y coma.

¿Dónde está el fallo? Pues en que vais más allá y os pasáis con la "seguridad", limitando vuestras aplicaciones y haciéndolas cada vez menos funcionales...


En línea

Azielito
no es
Colaborador
***
Desconectado Desconectado

Mensajes: 9.188


>.<


Ver Perfil WWW
Re: Programacion Segura con PHP [Olvidate de limpiar tus variables]
« Respuesta #11 en: 5 Septiembre 2007, 16:49 pm »

cuando programas una aplicacion ya tienes en cuenta hacia que tipo de gente va dirigida, por eso es opcional quitar/poner caracteres

como dices, en algunaso casos debes poner punto y coma, comillas y estos caracteres los tratas y punto.



En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Programacion Segura con PHP [Olvidate de limpiar tus variables]
« Respuesta #12 en: 6 Septiembre 2007, 08:23 am »

Que pasaría en caso de una autoinyección como le pasa al buscador de yahoo? filtraría bién la busqueda pero al aparecer lso resultados con XSS se me van a ejecutar... que pasa si mi variable vulnerable está dentro de una variable en script? me bastaría con escribir el signo mas (+) y eso no lo puedes filtrar porque te harías un desmadre con las peticiones que si son verdaderas... Yo creo que para la defensa de un XSS lo mas seguro es aprender como funciona tu página... el que la construyó deve saber que partes son filtradas y cuales no y de que manera, softwares como phpids son exelentes pero igual Debes configurarlo según sean tus necesidades... el mod security también es una muy buena opción pero también va a depender de lo que necesites como el brujo ha hecho sus rpopias modificaciones según la necesidad del foro.... tener un servidor y mantener una web no es pagarle a alguien para que te monte todo y se vaya... o tampoco es crear algo y dejarlo ahi por años sin tocar nada... es una responsabilidad constante donde tu sabes todo o que pasa en tu web código por código y Debes saber aplicar una solución al instante si es encontrado alguna falla. Google por mas filtros que le puso a sus buscadores igual fue vulnerado y tuvieron que repararlo... igual que phpids ... cada ves aparecian algunos xss que iban siendo reparados en el mismo instante... yo cada dis busco nuevas formas de encontrar vulnerabilidades en mi propia web para poder repararlas al instante según sea mi necesidad.
En línea

H4RR13R


Desconectado Desconectado

Mensajes: 1.229


Pienso... luego existo


Ver Perfil WWW
Re: Programacion Segura con PHP [Olvidate de limpiar tus variables]
« Respuesta #13 en: 25 Junio 2008, 18:50 pm »

pero al cuestion es... que es lo que causa los ataques sql injection? o lo que no debemos tener en un codigo para que sea vulnerable a él? perdon por revivir el post pero esque no se encuentra informacion por ahi ^^


un saludo y gracias!!
En línea


mi frase: Un hacker no dice lo que sabe un lammer no sabe lo que dice
Azielito
no es
Colaborador
***
Desconectado Desconectado

Mensajes: 9.188


>.<


Ver Perfil WWW
Re: Programacion Segura con PHP [Olvidate de limpiar tus variables]
« Respuesta #14 en: 25 Junio 2008, 19:34 pm »

Lo que causa inyecciones SQL es que no limías tus variables y entonces, cuando mandas codigo SQL en estas lo ejecuta como si se tratase del codigo de la aplicacion :D


Pero para una mejor explicacion de por que pasan las cosas le dejamos la palabra al maestro sirdarkcat
http://foro.elhacker.net/tutoriales_documentacion/tutorial_de_inyeccion_sql_sql_injection-t98448.0.html
y como no, tambien al maestro Ertai
http://foro.elhacker.net/bugs_y_exploits/sql_injection_para_principiantes_ejemplos_en_aplicaciones_reales-t142203.0.html

Que por cierto creo que tambien esta en desacuero con este post mio xDDDD
En línea

Mamsaac

Desconectado Desconectado

Mensajes: 141


Ver Perfil
Re: Programacion Segura con PHP [Olvidate de limpiar tus variables]
« Respuesta #15 en: 30 Junio 2008, 09:25 am »

Puedes aceptar cualquier entrada (hasta donde tengo entendido) si pasas el texto por htmlentities (eso es para los foros). Eso arruinaría cualquier intento de que te metan un tag de <script> y demás... Ahora, que si vas a permitir html por el usuario la cosa se torna más complicada. En mi opinión, lo mejor es limitarse a que el usuario use BBCode.
En línea

Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
aMetro, olvídate de volver a equivocarte de metro
Noticias
wolfbcn 0 1,664 Último mensaje 17 Marzo 2011, 19:40 pm
por wolfbcn
Limpiar Variables de Formularios con PHP « 1 2 »
Desarrollo Web
FFFenix 15 10,980 Último mensaje 18 Agosto 2011, 22:35 pm
por Shell Root
¿Vives en un municipio pequeño? Olvídate de la fibra
Noticias
wolfbcn 0 1,238 Último mensaje 9 Enero 2015, 18:44 pm
por wolfbcn
¿Billetes AVE a 25 euros? Olvídate, la web de Renfe es un caos
Noticias
wolfbcn 0 1,952 Último mensaje 25 Abril 2017, 13:54 pm
por wolfbcn
Programación segura
Programación General
DamnSystem 0 2,031 Último mensaje 5 Noviembre 2017, 23:30 pm
por DamnSystem
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines