[Resuelto] -Seguridad aplicacion Web (PHP)

Avatar

Buenas noches comunidad. Estoy desarrollando una aplicación web con PHP y me gustaría orientación en el ámbito de la seguridad. Cuál es la seguridad mínima que debo garantizar? Serviría algo como un checklist con los puntos mínimos obligatorios y los puntos mínimos deseables.

Gracias de antemano. Saludos...

Avatar

Dentro de un entorno de desarrollo pero no limitado a PHP, lo mínimo que deberías tener en tu servidor trabajando para la seguridad es lo siguiente

  • Consultas preparadas en PHP
  • Configuración de seguridad en tu server, por ejemplo deshabilita las conexiones remotas Crear un usuario distinto al root en tu base de datos para que sea el que acceda solo a tu base de datos
CREATE USER 'demo'@'localhost' IDENTIFIED BY 'password';

GRANT ALL privileges ON demo.* TO 'demo'@'localhost' IDENTIFIED BY password;

Yo en el ejemplo anterior con el usuario demon solo le estoy dando acceso a la base de datos demo con lo que evito que tenga los privilegios del super usuario root y en caso de una invasión pueda escalar; sin embargo puedes incluso limitar que ese usuario pueda o no crear mas usuarios

  • Evita guardar contraseñas como texto plano, haz uso de password_hash() referencia argon_2ireferencia

Los anteriores son métodos de cifrado y en especial hasta el momento argon es la mejor opción pues maneja un cifrado pesado y lento por que se basa en factores como la memoria RAM a ocupar y detalles de este tipo

  • Usa siempre las versiones mas recientes y estables de cada herramienta de software que vayas a ocupar
  • Usa tokens para proteger las sesiones
  • Implementa como lo hace Laravel la protección contra ataques de tipo csrf

Lo anterior son solo algunas de las recomendaciones mas comunes que tu sistema no solo en PHP sino en cualquier lenguaje y gestor de bases de datos debería tener en cuenta

Avatar

Hola Nathenn

Adicional a lo que ya te respondieron, una palabra clave que puedes usar en google para realizar una busqueda es hardening php y adicional buscarte las guias de configuracion de OWASP.

Saludos...

Necesitas iniciar sesión para responder.