Cita de: Wexex5 en 3 Noviembre 2021, 12:12 PM
Con javascript se puede inyectar codigos que interfirieran en sus variables y funciones y podria llegar a las funciones o variables de php que pueda comprometan el sistema.
Claro, pero por eso tienes que programar teniendo en cuenta la seguridad del sistema.
Cita de: Wexex5 en 3 Noviembre 2021, 12:12 PM
Si tengo un directorio que almacena comentarios de todo los clientes, un hacker podria literalmente escribir datos en las variables de javascript o ejecutar funciones.
Si tu seguridad se basa en javascript pues sí. Pero javascript no es el lugar para hacer este tipo de verificaciones. Sobre todo para este tipo de cosas.
Cita de: Wexex5 en 3 Noviembre 2021, 12:12 PM
Con php si modifica ciertas identificaciones en los botones de html podrias ejecutar funciones que hay en el codigo php!!!
Eh... no. Desde el HTML a lo más que puedes hacer es cambiar la URL a la que se envía la petición. De ahí se corre un script en PHP. HTML ni javascript tiene acceso directo al código de PHP.
Cita de: Wexex5 en 3 Noviembre 2021, 12:12 PM
Por dios es un error escribir cualquier dato sensible en un fichero...
En cierta parte es cierto, por eso existen otros sistemas de autentificación para los diversos sistemas que puedes tener que no usan usuario y contraseña (no solo de bases de datos, sino también de otros servicios). Pero de que las credenciales tienen que estar guardadas en algún lado pues no hay otra manera... A menos que quieras estar introduciendo las credenciales manualmente en algún proceso cada que reinicias el sistema (y luego tener que programar el acceso a este proceso).
Cita de: Wexex5 en 3 Noviembre 2021, 12:12 PM
Es por lo que lo veo mal y derivaciones a este tipo de metodos.
Obviamente no existe la maxima seguridad, pero al menos hay que hacer que el hacker muera de viejo antes de que lo consiga.
En este caso, lo peor que puede pasar es que tu reusas las credenciales para otro sistema. Por ejemplo, era habitual que los servicios de hosting te daban una sola contraseña para la cuenta del hosting, la cuenta de FTP y la cuenta de MySQL. Así que si alguien alcanzaba a leer la contraseña pues ya tenía acceso a todo.
Pero si las credenciales solo aplica a tu sistema de base de datos entonces realmente no puedes hacer nada más que conectarte a este sistema. Y los sistemas de bases de datos generalmente no están expuestos más que al sistema que necesite accederlo. Es decir, que el atacante necesitaría todavía tener acceso al servidor para poder acceder a la base de datos.