Programación segura en PHP
Sábado , 12 de Febrero de 2005. Enrique Barbeito García
Ayer conocía, vía diariolinux·com (?), un completo documento sobre prácticas seguras a la hora de programar en PHP. El texto se titula PHP Security Guide y pretende ser una guía para desarrolladores de PHP que cubra los aspectos más comunes sobre la seguridad en este entorno. Está basada en el trabajo de Chris Shiflett, PHP Security, y se encuentra en la versión 1.0, disponible tanto en formato HTML como en DocBook (y se espera que también se encuentre disponible en PDF)
Esta guía es uno de los proyectos del grupo, recientemente creado, PHP Security Consortium (PHPSC, abreviado). Éste fue fundado el pasado mes de enero y está formado por expertos en PHP de diversos países. El objetivo del PHPSC es fomentar el uso de prácticas seguras de programación; para ello se intenta educar a la comunidad de desarrolladores de PHP acerca de la seguridad e importancia que tiene dentro este entorno.
Para los interesados en desarrollo de aplicaciones con PHP este recurso debería ser visita obligada o, cuando menos, muy recomendable. Además de que la guía puede resultar extremadamente útil al disponer de multitud de ejemplos prácticos que refuerzan las explicaciones. El índice de contenidos es el que sigue:
- 1.1 What Is Security?
- 1.2 Basic Steps
- 1.3 Register Globals
- 1.4 Data Filtering
-
- 1.4.1 The Dispatch Method
- 1.4.2 The Include Method
- 1.4.3 Filtering Examples
- 1.4.4 Naming Conventions
- 1.4.5 Timing
- 1.5 Error Reporting
- 2.1 Spoofed Form Submissions
- 2.2 Spoofed HTTP Requests
- 2.3 Cross-Site Scripting
- 2.4 Cross-Site Request Forgeries
- 3.1 Exposed Access Credentials
- 3.2 SQL Injection
- 4.1 Session Fixation
- 4.2 Session Hijacking
- 5.1 Exposed Session Data
- 5.2 Browsing the Filesystem
- 6.1 About This Guide
- 6.2 About the PHP Security Consortium
- 6.3 More Information
Lo comentan también en SigT (?). Más información acerca de PHP Security Consortium: