Capítulo 14. Seguridad

PHP es un lenguaje flexible con ganchos en casi todas las API que ofrecen las máquinas en las que se ejecuta. Como fue diseñado para ser un lenguaje de procesamiento de formularios para páginas HTML, PHP facilita el uso de datos de formularios enviados a un script. Sin embargo, la comodidad es un arma de doble filo. Las mismas características que te permiten escribir rápidamente programas en PHP pueden abrir puertas a quienes quieran irrumpir en tus sistemas.

PHP en sí no es ni seguro ni inseguro. La seguridad de tus aplicaciones web está totalmente determinada por el código que escribas. Por ejemplo, si un script abre un archivo cuyo nombre se le pasa como parámetro de un formulario, ese script podría recibir una URL remota, una ruta absoluta o incluso una ruta relativa, lo que le permitiría abrir un archivo fuera de la raíz de documentos del sitio. Esto podría exponer tu archivo de contraseñas u otra información sensible.

La seguridad de las aplicaciones web sigue siendo una disciplina relativamente joven y en evolución. Un solo capítulo sobre seguridad no puede prepararte suficientemente para la avalancha de ataques que seguramente recibirán tus aplicaciones. Este capítulo adopta un enfoque pragmático y cubre una selección destilada de temas relacionados con la seguridad, incluyendo cómo proteger tus aplicaciones de los ataques más comunes ...