[Php-avanzado] Ejecución automática de scripts en Apache

[Matias Gea]

Hola, Jesica

El día 28 de junio de 2011 19:46, Jesica Billia
<jesicabillia en hotmail.com> escribió:
> Gracias por la explicación!! No entiendo lo de ingresar al servidor por
> consola, si pongamos como ejemplo que tengo un servidor Windows, cómo haría
> en ese caso? o todos los servidores cuentan con esa opción de programar
> tareas?
La verdad, en un server windows no sabría hacerlo. Tenés alguna buena
razón para tener la web en un server windows? Te recomiendo contratar
servers Linux, al menos que tengas algún sistema que requiera Windows.
Son, en eneral, más baratos, más fáciles de mantener y si tenés
problemas, es más fácil ayudarte.

> Sobre lo que consulté del password, en realidad esta bueno que se pueda
> resolver con un captcha, me parece más práctico para algo que no necesita
> taaanta seguridad, ahora lo que vos decís de inyección yo lo que hago es
> prevenir antes de ejecutar una consulta SQL es que no tenga caracteres
> inválidos como ( ) { } \ / < >, pero no estoy convencida si solamente
> resguardando que en el formulario no haya de esos caracteres estoy a salvo.
> Hay algo más que tenga que tener en cuenta??
Si, el captcha es una buena opcion. El Recaptcha, particularmente, es
simple para integrar, aún no se puede resolver con robots y además
ayudas a digitalizar libros.

Sobre las inyecciones, tenés que tener mucho cuidado con todas las
entradas del usuario que vayan a una consulta SQL. En general, con
evitar el uso de comillas es suficiente (en realidad, deberías escapar
las comillas correspondientes, para permitir el ingreso de coimillas,
pero que no afecten a tus consultas). La función
mysql_real_escape_string sirve para esto.

Igualmente, tenés que tener cuidado, porque no sólo inyecciones SQL se
pueden meter en una consulta, también alguien puede poner un XSS, si,
por ejemplo, en la entrada de un comentario yo ingreso "<script
type=text/javascript>....</script>" se ejecutará ese script cada vez
que se muestre mi comentario. Esto puede llevar a un montón de ataques
distintos, que, en general, no afectan al server, pero si a los
usuarios del sitio (robo de cookies, defacement, redirections, etc).
Entonces, si el usuario no debería ingresar etiquetas html, también te
recomiendo que hagas un strip_tags.

En el siguiente link hay una forma de insertar scripts sin una
etiqueta script:
http://palisade.plynt.com/issues/2010Oct/bypass-xss-filters/


Saludos!

-- 
Matias Fernando Gea
matigea en gmail.com
http://www.mfgea.com.ar