Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tema 7: Seguridad
_ Seguridad en el cliente
± ódigo móvil
_ Seguridad en el servidor
± Servidor web, servidor de bases de datos, lenguajes de servidor
_ Seguridad en la aplicación
± ontrol de acceso
± Validación de datos de entrada
± Programación segura
_ Seguridad en la comunicación
± ertificados digitales, SSL
_ Primera recomendación:
± Disponer siempre de versiones actualizadas de pache y PHP
_ spectos de PHP que pueden dar lugar a vulnerabilidades:
± Variables globales
± Nombres de ficheros
± Subida de ficheros
± Bibliotecas
± Datos enviados desde formularios
r
r
r
àà!"#$"%&'(
àà
=
,%&'(
-
-.
à
)
/à*
à
)
à
*
=
à
à
)0
0
)1
0)
)2
0)
þ
)1
0)
)2
0)
Ä
_ Inyección
± onsiste en inyectar en la aplicación datos introducidos por el
usuario. Esto es muy habitual y de por sí no es peligroso
± Ejemplo: sea la instrucción
34%"5"2&67!,89"!"àà4
34%"5"2&67!,89"!"à--:4
Ä
_ Inyección SQL
± onsiste en inyectar un mandato dentro de una consulta SQL.
Sea la consulta:
± Si el valor es Ú
la consulta es:
%"5"2&7!,89"!"àÚ
_ Inyección SQL
± Sea ahora el siguiente código muy habitual en una aplicación
Web:
_ Inyección SQL
± Se puede saltar la comprobación del password introduciendo el
valor como username o el valor como
password. Las consultas que quedarían en ambos casos son,
respectivamente:
_ Inyección SQL
± La inyección SQL puede utilizarse para:
ambiar valores de las consultas
oncatenar varias consultas
ñadir llamadas a función y procedimientos almacenados a una
consulta
_ Para evitar la inyección SQL es muy importante ÿ
ÿ
. En el
primer caso, por ejemplo, à debe ser un valor entero
6