Siempre tenemos que tener en cuenta estos 7 consejos:
- Validar el tipo de dato que se recoge por $_GET,$_POST,$_COOKIE
- Comprobar los rangos de los datos con la función strlen (por ejemplo si el campo user_login de la base de datos USUARIO tiene como longitud 35, cerciorarse de que esa es la longitud).
- Todos los datos que entren por el usuario y que contengan cadenas de texto, hay que comprobar que no incluye HTML con la función htmlentities.
- Usar basename (que devuelve el nombre de archivo de una ruta dada) en lugar de include.
- Todo lo que venga de un usuario y vaya a entrar en SQL debe pasar antes por mysql_real_escape_string para protegernos de inyecciones SQL.
- Crear directorios con .htaccess para que no se puedan listar el contenido ni colocar index.html en blanco.
- HP recomienda que se deshabilite la opción display_errors en el php.ini, sin embargo, muchos servidores web la mantienen habilitada, lo que conlleva que cualquiera puede provocar intencionadamente errores PHP en tu página, para conseguir información sobre las rutas al script, para evitar eso, puedes intentar hacer: ini_set(’display_errors’,’off’); y si no te funciona: error_reporting(0); al principio de tu script.
Vía: Nativos2020
Un comentario
Buenos consejos, aunque en la mayoria de las veces no siempre se toma en cuenta, dependiendo que tipo de aplicación estes trabajando.
Saludos.