SEGURIDAD DEL LADO DEL CLIENTE – PHP Y MYSQL

Con PHP se puede realizar muchas acciones entre ellas acceder a archivos, también podemos ejecutar
comandos y además abrir conexiones de red en el servidor. Todas estas características provocan que
cualquier cosa que sea ejecutada en un servidor web sea insegura por naturaleza. Sin embargo, con la
selección correcta de opciones de configuración en tiempos de compilación y ejecución, y siguiendo
algunas buenas prácticas de programación, PHP puede ser la combinación precisa de libertad y seguridad
que se necesita.

Algunas inseguridades o vulnerabilidades mas frecuentes son:

Acceso a cualquier documento en el servidor:

Al instalar un servidor PHP observamos que el enlace o la ruta de ejecutable puede ser observado, un
ejemplo de esto podemos observarlo al ejecutar el aplicativo que hemos creado.

Observamos en la url: localhost/grupo18/administrador.php esto nos hace observar que estamos dentro
de una carpeta llamada grupo18 y el archivo ejecutable es administrador.php ahora bien existe script
que hace que la ruta se modifique el documento que se está ejecutando pero aun así la ruta de la
carpeta se sigue observando. Así que para contrarrestar esto se debe encriptar mediante código las
carpetas para que solicite credenciales y así no puedan ingresar a la ruta de nuestro servidor.

Seguridad del sistema de archivos

PHP fue diseñado para permitir acceso al nivel de usuarios al sistema de archivos. Por este motivo es
posible escribir un script que permita leer archivos del sistema como /etc/passwd, enviar trabajos de
impresión masivos, etc.

Esto tiene algunas implicaciones obvias, en el sentido en que hay que asegurarse que los archivos desde
los que lee y hacia los que escribe datos, sean los correctos. El siguiente es un script donde un usuario
indica que quiere eliminar un archivo ubicado en su directorio personal. Este caso asume que se trata de
una situación en donde se usa normalmente una interfaz web que usa PHP para la gestión de archivos,
así que el usuario de Apache tiene permitido eliminar archivos en los directorios personales de los
usuarios.

Ya que el nombre de usuario es enviado desde un formulario de usuario, cualquiera puede enviar un
nombre de usuario y archivo propiedad de otra persona, y eliminar archivos. Considere lo que sucede si
las variables enviadas son "../etc/" y "passwd". El código entonces ejecutaría:
Acceso seguro a las Bases de Datos

Entre más acciones se tome para incrementar la protección de su base de datos, menor será la
probabilidad de que un ataque tenga éxito exponiendo o abusando de cualquier información
almacenada. Un buen diseño del esquema de la base de datos y de la aplicación es fundamental.