Vengo a compartir un post muy interesante que lo he visto en Segu-Info y nos dan un par de tips para escribir aplicaciones seguras en PHP, seria bueno que los programadores y WebMasters se den una hojeada de este post para tener en cuenta la seguridad de su aplicaciones.

Aquí les dejo los 7 hábitos que tendrían que tomar en cuenta para la seguridad cuando estén escribiendo sus códigos.

1. Validar las entradas del usuario. Es posiblemente el habito mas importante que se pueda adoptar cuando se comienza a considerar la seguridad. Las vulnerabilidades mas importantes se derivan del exceso de confianza en los datos que introduce el usuario.
2. Proteger el sistema de archivos. El efecto que podria llegar a tener el robo de un archivo de sistema podria llegar a impactar no solo a la aplicacion, sino tambien al sistema operativo y al servidor en general.
3. Proteger la Base de Datos. La informacion es el activo mas importante que protege la empresa, generalmente las aplicaciones administrativas manejan datos bastante sensibles que se manejan con mucho recelo.
4. Proteger los datos de sesion. Toda informacion almacenada en la sesion es susceptible de ser visualizada por cualquiera. Tienes dos alternativas: cifrar los datos, lo que no garantiza por completo su privacidad si es un metodo reversible y/o almacenarlos en Base de datos.
5. Protegerse contra las vulnerabilidades de tipo Cross-Site Scripting (XSS). Esta vulnerabilidad esta relacionada con el primer habito recomendado, pero ademas de protegerte de la informacion que aceptas en tu aplicacion, tambien hay que cuidar la informacion que se sale de la misma, principalmente para no incluir codigo que se ejecute/interprete indebidamente del lado del cliente.
6. Verificar el intercambio de informacion (posts) entre formas. Ya que la conexion entre el cliente y el servidor no es persistente, debe hacerse una comprobacion del ‘remitente’ de los datos, ya que pudieron haber sido enviados desde cualquier forma sin haber pasado por las validaciones esperadas.
7. Protegerse contra ataques Cross-Site Request Forgeries (CSRF). Este tipo de ataque se basa en la ganancia de privilegios mayores de los debidos por medio de expolits.

Para mas información de lo ya hablado arriba pueden visitar esta web con ejemplos y mas explicaciones (La web esta en ingles y es la de IBM)