Seguridad en nuestras aplicaciones PHP

Publicado el en la categoría Diseño y Programación, Seguridad

Una vez tenemos nuestra página web colgada en internet, debemos protegerla de los posibles ataques que pueda recibir. Si estas usando un cms o cualquier otra aplicación (tienda online, foro, etc.), ésta deberá estar actualizada a la última versión estable. También comentamos unas directivas de PHP que deberíais revisar:

Ocultar la versión de PHP
Para evitar que con un telnet se pueda averiguar que versión de PHP hay corriendo en nuestro servidor, editaremos php.ini y cambiaremos a off la directiva:

expose_php = Off

Deshabilitar register_globals
Esta directiva está desabilitada en las versiones actuales de php ya que permite a un atacante manipular cualquier variable definida de forma global. Por si acaso deberemos revisar nuestro php.ini y comprobar que esté en off:

register_globals = Off

Evitar que aparezca el ID de sesión en la URL
Podemos desactivar la visualización de una URL con el ID de la sesión como esta:

http://dominio.com/?PHPSESSID=5mhjusibcsvmhgkiu196i6ka

modificando en el php.ini y poniendo a off (o a cero) la variable:

session.use_trans_sid = off

Deshabilitar funciones peligrosas
Existen una serie de funciones que pueden generar graves problemas de seguridad si un atacante logra utilizarlas. Recomendamos desactivar estas funciones y si en un momento dado son necesarias, se activarán o se buscarán alternativas. Para deshabitar dichas funciones utilizaremos disable_functions:

disable_functions =”system, passthru, escapeshellarg, escapeshellcmd, proc_close, proc_open, ini_alter, popen, show_source, pcntl_exec”

Podemos encontrar más información de cada función en el sitio oficial de php php.net

Facebooktwittergoogle_plus