Buenos días, la idea con esto es de que si alguien sabe de alguna solución para estos ataques o vulnerabilidades lo pueda comentar, además que voy a estar buscando por mi cuenta y al final si no me morí en el intento voy a publicar las soluciones para cada problema con código + el código que ustedes comenten. (o un link hacia un vídeo, o documentación que lo explique más a fondo)

La lista de vulnerabilidades son los TOP 10 de OWASP desde el 2003 hasta el 2017 (que imagino es el más reciente)

• Entrada no validada
• Secuencia de comandos en sitios cruzados XSS https://www.youtube.com/watch?v=LGWQE4LTeuk
• Inyección https://www.youtube.com/watch?v=UMoekwmZsRY

• Control de acceso interrumpido
• Pérdida de autenticación y gestión de sesiones
• Ejecución de ficheros malintencionados
• Exposición de datos sensibles
• Referencia insegura y directa a objetos
• Entidades Externas XML (XXE)
• Desbordamiento de bufer
• Falsificación de peticiones en sitios cruzados CSRF https://foro.elhacker.net/desarrollo_web/aporte_sistema_anti_ataques_csrf-t501705.0.html
• Configuración de seguridad incorrecta
• Revelación de información y gestión incorrecta de errores
• Almacenamiento criptográfico inseguro
• Ausencia de control de acceso a las funciones
• Almacenamiento inseguro
• Falla de restricción de acceso a URL
• Deserialización Insegura
• Fallas de administración remota(no aplicable)
• Negación de servicio
• Comunicaciones inseguras
• Redirecciones y reenvíos no validados
• Registro y Monitoreo Insuficientes

¿Qué? ¿Me pueden robar las sesiones?

- Estuve buscando y parece ser que eso es muy posible, y se puede hacer hasta en facebook, hotmail, wordpress... No es mentira cuando dicen que la informática es una industria que está rota.

La verdad no lo esperaba porque bueno pensaba que una $_SESSION es algo parte de el código del servidor de una aplicación (backend) y que por tanto nadie podría tener acceso a eso, hay "pequeñas soluciones (no algo que termine con el problema)" pero la verdad nose porque si ni facebook puede evitarlo del todo...

Estoy algo confundido y no se por donde empezar para arreglar esto si es posible, algún consejo?  

Buenas tardes,
hace tiempo había publicado un tema donde preguntaba como podía hacer que la session durara hasta que el usuario cierre el navegador, por lo cual la solución era...

ini_set('session.cookie_lifetime', '0');
ini_set('session.gc_maxlifetime', '0');
session_start();
 

Pero ahora quiero que la session sea eterna, que nunca se termine por más que el usuario cierre el cliente (navegador), apague la computadora, dispositivo, quiero que su session siga vigente... twitter estuve viendo y funciona no se si igual pero a cada rato tengo la sesión abierta sin importar si pasó 1 semana...

Por curiosidad y para pasar el rato qué edad tienen?

- (yo) 19 años

Buenas noches,

básicamente eso... ¿como puedo saber que cambios hice en mi php.ini ya que hace un tiempo que hice algun que otro cambio pero a día de hoy ya ni me acuerdo... la idea es pasar todas las configuraciones que hice a código php y no tenerlo en el php.ini... así va a ser más fácil cuando lo lleve a un hosting...

Gracias!

Pasa que a veces sucede que un programa (php) tiene que hacer una tarea y el muy hdpta se queda colgado y tarda mucho... después me manda un error algo de max excution exceded a veces me pasa ... no siempre...

¿Como arreglo eso? 

Buenos días,

se dice que no se deben poner paréntesis cuando usamos echo (php) es decir...

echo('string');
 
// esto va a mostrar por pantalla... "string"
// la forma en la que lo hice se dice mucho que no se debe hacer y que la forma correcta es
echo 'string';
 

¿Pero por qué? Independientemente de cual use va a funcionar, no me va a devolver algún tipo de advertencia o error... entonces ¿por qué no se puede hacer así? (si esto ocasiona algún tipo de problema imperceptible lo voy a cambiar de la forma que me digan, pero tengo esa duda porque hasta donde yo lo veo que tampoco sé muchisimo lo veo como algo inutil pero puedo cambiar de opinión)

Buenas noches,

estoy teniendo serios problemas y es que no puedo lograr definir variables a través de un for en javascript. Lo que hago es:

var array = ['variable_1', 'variable_2'];
 
for(var i = 0; i < array.length; i++)
{
    var array[i] = i; // La idea es crear la variable "var variable_1 = 0; y var variable_2 = 1;"
}
 

Buenos días,

quería saber si se pueden hacer rutas absolutas cuando se llama a un archivo externo... "require('lib/archive.php');" dependiendo de donde este el archivo raíz la ruta va a cambiar, por ejemplo "require('../lib/archive.php');" quería saber si existe una manera de hacer una ruta absoluta donde ya no necesite hacer esto... simplemente con poner el nombre del archivo ya lo encuentre sin importar en que parte de la carpeta de aplicación yo me encuentre...

Estuve buscando y se menciona algo de ___DIR___ o ___FILE___ pero en esos ejemplos todavía se usan los ../ y yo quiero algo absoluto pero ABSOLUTO en mayúsculas xD

Es que había editado (hace un poco más de 1 año) para que los archivos php, html se puedan leer como URL "aplication/index" en vez de "aplication/index.php"

el tema es que me arrepentí ahora y quiero volverlo a como estaba... y como fue hace mucho que lo adherí no me acuerdo nada xD

Options +FollowSymLinks
 
RewriteBase /
RewriteEngine On
 
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME}.html -f
RewriteRule ^(.*)$ $1.html
 
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME}.php -f
RewriteRule ^(.*)$ $1.php
 
options -indexes
 
ErrorDocument 400 /aplication/error?number=400
ErrorDocument 401 /aplication/error?number=401
ErrorDocument 402 /aplication/error?number=402
ErrorDocument 403 /aplication/error?number=403
ErrorDocument 404 /aplication/error?number=404
ErrorDocument 405 /aplication/error?number=405
ErrorDocument 406 /aplication/error?number=406
ErrorDocument 407 /aplication/error?number=407
ErrorDocument 408 /aplication/error?number=408
ErrorDocument 409 /aplication/error?number=409
ErrorDocument 410 /aplication/error?number=410
ErrorDocument 411 /aplication/error?number=411
ErrorDocument 412 /aplication/error?number=412
ErrorDocument 413 /aplication/error?number=413
ErrorDocument 414 /aplication/error?number=414
ErrorDocument 415 /aplication/error?number=415
ErrorDocument 416 /aplication/error?number=416
ErrorDocument 417 /aplication/error?number=417
ErrorDocument 422 /aplication/error?number=422
ErrorDocument 423 /aplication/error?number=423
ErrorDocument 424 /aplication/error?number=424
ErrorDocument 500 /aplication/error?number=500
ErrorDocument 501 /aplication/error?number=501
ErrorDocument 502 /aplication/error?number=502
ErrorDocument 503 /aplication/error?number=503
ErrorDocument 504 /aplication/error?number=504
ErrorDocument 505 /aplication/error?number=505
ErrorDocument 506 /aplication/error?number=506
ErrorDocument 507 /aplication/error?number=507
ErrorDocument 510 /aplication/error?number=510