SEGURIDAD EN

PHP
KATHERINE BONIFAZ A.

PROGRAMACION WEB

NDICE
INTRODUCCIN .............................................................................................................................. 2
OBJETIVO .......................................................................................................................................... 2
SEGURIDAD EN PHP ....................................................................................................................... 3
TIPS................................................................................................................................................. 3
MEDIDAS....................................................................................................................................... 3
RECOMENDACIONES ................................................................................................................. 3
VENTAJAS/DESVENTAJAS ........................................................................................................ 5
EJEMPLOS ..................................................................................................................................... 5
CONCLUSION ................................................................................................................................... 6
BIBLIOGRAFIA................................................................................................................................. 6

INTRODUCCIN
Durante los aos que han transcurrido Php se ha convertido una de las plataformas ms
estables, la cual por ser de bajo costo y en la que se puede operar diversas aplicaciones
basadas en la web por lo que se ha posicionado como una de las primeras a utilizar por los
WebServers.
A pesar de aquello como muchas otras aplicaciones realizadas en otros lenguajes, Php es
vulnerable a ataques externos, por lo que los desarrolladores y administradores de sistemas
deben tomar precauciones antes de emplear o manipular informacin que perjudique a los
usuarios de la aplicacin.
Claro est que para mantener la seguridad existen muchas reglas y protocolos de seguridad
en Php, y en estas investigaciones desglosaremos diversas medidas, tips y recomendaciones
para hacer de tu sitio o web un lugar seguro y que tu informacin sea confidencial.
No debemos alarmarnos con el hecho de saber que aparte de las validaciones que
naturalmente se le hacen a nuestra aplicacin debemos tomar otras medidas las cuales no
complicaran nuestro cdigo ya que son pequeas lneas de cdigo o ajustes que se les
asigna a variables o parmetros de una aplicacin.
MOTIVACIN
Para realizar la investigacin nos motiv el hecho de saber la importancia de mantener la
informacin segura en nuestras aplicaciones o sitios ya que muchas veces se manipula
bases de datos y archivos que pueden perjudicar a nuestra aplicacin o a los usuarios que la
manejen para ello es necesario despejar toda duda y aprender a mantener un sitio seguro.

OBJETIVO
Lo realizamos con el objetivo de aprender las tcnicas, medidas, tips y recomendaciones
necesarias para preservar la seguridad de la informacin que tendremos y emplearemos con
el objetivo de que no perjudique ni al sitio mucho menos al usuario.

SEGURIDAD EN PHP
TIPS
Algunos tips que se da al momento de controlar la seguridad de las aplicaciones en Php es:
La proteccin contra inyeccin de cdigo SQL.
Guardar las contraseas, nmeros de tarjetas de crdito, direccin de correo, etc de
forma segura con MD5 o SHA1
Usar variables de sesin y no de cookies
Suplantacin de sesiones
Parmetros Get/Post explotables
Validaciones en JavaScript para proteccin de datos en los formularios.
Validar entradas.
Inicializar todas las variables para que no entren con datos que permitan obtener
algn tipo de informacin.

MEDIDAS
Son muchas las formas de implementar seguridad en Php pero a continuacin describir
algunas de las medidas de seguridad ms simples pero importantes.
Script de Instalacin
Include de archivos
Codificaciones MD5, SHA y algoritmo bcrypt.
Captchas de seguridad

RECOMENDACIONES
Al utilizar Php se recomienda cambiar la configuracin de Apache y Php por lo que por lo
general la configuracin predefinida muestra mucha informacin que le podra servir a los
crackers, los cuales podran obtener la informacin sobre las versiones de los servicios
instalados y as seleccionar alguna vulnerabilidad conocida para la versin que estemos
usando.

Para evitar que se muestre esta informacin se suele inhabilitar algunas variables y
configuraciones para no dar informacin alguna sobre la versin que estamos utilizando
La configuracin predefinida de Apache muestra esto:
Server: Apache/2.2.15 (Debian) PHP/5.3.5
Es peligroso permitir que esta informacin este visible procederemos a cambiar la
configuracin y cambiaremos el estado de las siguientes variables
/etc/apache2/conf.d/security
ServerSignature Off
ServerTokens Prod
TraceEnable off
Y para evitar que Php muestre informacion se debe editar el archivo y agregar la variable
que se mostrara a continuacin:
/etc/php5/apache2/php.ini
disable_functions = ,system,show_source,phpinfo/pre>

Luego, en el mismo archivo php.ini busca las siguientes variables de configuracin y

ponlas a Off
allow_url_fopen=Off
display_errors=Off
expose_php = Off

Por ltimo ve al archivo de configuracin del host virtual de tu servidor apache y agrega las
siguientes lneas, esto lo debes hacer por cada host virtual que exista en tu servidor y son
todos los archivos en el directorio /etc/apache2/sites-available/. Te muestro el ejemplo del
host virtual default
/etc/apache2/sites-available/default
ServerSignature OffFileETag None

VENTAJAS
Existen hoy en da muchos tutoriales para poder aprender a tener un sitio seguro.
Se pueden realizar validaciones.
Aplicar tcnicas de seguridad.
DESVENTAJAS
Es difcil controlar la seguridad se debe ser experto en el tema para poder realizar
una medida de seguridad alta ya que de algn modo si existe una pequea falla en
aquello ser vulnerable.
Su cdigo no se divide en capas es decir que todo est mezclado el cdigo Php,
HTML y SQL

EJEMPLO
SIEMPRE INICIALIZAR LAS VARIABLES. El propsito de esto es que la variable no
quede suelta y pueda ser alterada mediante un error de programacin o por algn ataque
que se realice a la pgina.
Ejemplo:
1
2
3
4
5
6

if (check_user($_POST["username"], $_POST["password"])
$login = false;
if ($login) {
ingrese_pagina_segura();
}

Validar las entradas. De las mejores prcticas que

se deben hacer para tener un cdigo confiable en
la web, es la validacin de nuestras variables.
PHP tiene funciones de validacin de variables
segn el tipo que se necesite, lo cual evita, perder
fidelidad de los datos, ataques o errores comunes
de programacin.

CONCLUSIN
Como medida de seguridad es muy sensato el verificar que nuestra aplicacin o sitio no
tenga ningn hueco o parte vulnerable ya que de encontrarle algn hacker o cracker esta
falla ser una desventaja grande ya que se podr desde robar informacin importante hasta
daar y perjudicar de muchas otras, para aquello existen muchas medidas que implantar en
nuestra aplicacin y as ofrecer un sitio seguro y confiable al usuario.

BIBLIOGRAFIA

http://blog.rhiss.net/buenas-practicas-de-seguridad-php.html

http://es.slideshare.net/flaiwebnected/bloque-1-php-y-seguridad-web

http://elbreakdelainformatica.com/foro-134-Ventajas-y-desventajas-de-usar-PHP

http://www.pedroventura.com/php/4-medidas-de-seguridad-en-php-que-debes-tener-encuenta/