Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - Dacan

Páginas 1 ... 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

#211

PHP / Re: iNews System Project [Actual version: 0.4 BETA][Prox. Ver. 0.6][94%]

16 Noviembre 2008, 20:53 PM

Bueno es muy sencillo:

<?
$sql = mysql_query("SELECT * FROM `noticias` WHERE id = '".$_GET['editar']."'");
$noticia = mysql_fetch_assoc($sql);
?>
<textarea name="noticia" rows="10" cols="20"><?=$noticia['fila de la db'];?></textarea>

Saludos, Dacan

#212

PHP / Re: iNews System Project [Actual version: 0.4 BETA][Prox. Ver. 0.6][94%]

16 Noviembre 2008, 20:36 PM

Lo hice por tu sistema y por el foro el tutorial pero nada que bueno que ya tu aplicación no sea vulnerable.

Saludos, Dacan

#213

PHP / Re: iNews System Project [Actual version: 0.4 BETA][Prox. Ver. 0.6][71%]

16 Noviembre 2008, 19:49 PM

http://foro.elhacker.net/php/tutorial_protege_tu_aplicacion_php-t235223.0.html

Saludos, Dacan

#214

PHP / Re: [Tutorial] Protege Tu Aplicacion PHP

16 Noviembre 2008, 19:01 PM

No me gusta Htmlspeacialchars porque:

Convierte los caracteres a otra cosa, ejemplo:

<?php
$nuevo = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $nuevo; // <a href='test'>Test</a>
?>

Saludos, Dacan

#215

PHP / [Tutorial] Protege Tu Aplicacion PHP

15 Noviembre 2008, 23:16 PM

Bueno debido a que muchos no le dan la debida importancia a la seguridad o no saben casi nada sobre el tema les dejo aquí un tutorial para que pueden protegerse.

Bueno si tu aplicación trabaja con formularios o manejo de superglobales POST, GET debes protegerte de ataques xss o rfi.

Xss:
Debes Filtrar todas las superglobales que el usuario puede modificar con la función htmlentities() que se encarga de tratar los códigos html como texto plano, así que cuando alguien intente <b>Texto</b> lo mostrara de la misma forma y no se pondrá el texto en negritas.

Rfi:
Bueno para protegerte de un rfi no puedes incluir una variable que el usuario toque sin asesorarte de que sea el script que verdaderamente debe incluirse, para eso existen muchos sistemas de modulación.

Ahora si tu aplicación trabaja con base de datos solo tienes que filtrar todas las superglobales con la funcion mysql_real_escape_string() que se encarga de colocar barras invertidas ante estos caracteres \x00, \n, \r, \, ', " y \x1a.

Mas Información de las funciones antes mencionadas:

- http://es.php.net/mysql_real_escape_string
- http://es.php.net/htmlentities

Ejemplos:

// Mostrando un Texto
$texto = htmlentities($_POST[texto]);
echo $texto;

// Actualizando una tabla
$nick = mysql_real_escape_string($_POST['nick']);
$password = mysql_real_escape_string($_POST['password']);
$actualizacion = "UPDATE usuarios SET password = '$password' WHERE nick = '$nick'";
mysql_query($actualizacion);

Bueno espero que les sirva de ayuda y si tienen alguna duda sobre seguridad o PHP en general me envían un Mensaje Privado y con gusto les ayudare.

Saludos, Dacan

#216