PHP on metroSetenta

¿Es PEAR la pera?

Wed, 12 Sep 2012 19:02:00 +0200

PEAR se define a sí mismo, al inicio de su página web (http://pear.php.net), como un marco y un sistema de distribución de componentes PHP reutilizables. PEAR son las siglas de PHP Extension and Application Repository, y su logotipo, aprovechando el juego de palabras, es una simpática pera. En alguna ocasión te escribiré acerca de PEAR en este blog (si no lo he hecho ya), y por este motivo hoy te lo presento de un modo liviano.

Longitud y formato también importan

Fri, 07 Sep 2012 22:02:00 +0200

Te cuento más cosas a tener en cuenta cuando procesas información recibida de tus usuarios. En primer lugar quiero que sepas que es conveniente que chequees la longitud de los valores recibidos para prevenir ataques de denegación de servicio o de desbordamiento de buffer. En PHP se puede usar la función strlen() para comprobar la longitud del dato recibido antes de procesarlo.

If (strlen($edad) > 3 ) exit ($edad . " es un valor inválido para el campo edad";)

Y ahora hablemos del formato. Cuando comprobamos el tipo de variable y su longitud puede parecer que tenemos todo el trabajo hecho, pero no es del todo cierto. Una fecha de nacimiento y un correo electrónico pueden estar contenidos en una variable del tipo cadena de caracteres, pero tienen aspectos bien distintos, formatos diferentes. La fecha puede estar separada por barras, usar dos caracteres para indicar el día en cifras, tres para indicar el mes en letras y dos para indicar el año en cifras; algo así como 12/jun/78. El correo electrónico contiene dos secciones bien diferencias por el signo @ y finaliza con un punto y una extensión del tipo com, es, tv, org, etc. Otro ejemplo: metroSetenta@gmail.com. En el momento en que nuestro código debe interactuar con el de otras aplicaciones como, por ejemplo, gestores de correos, bases de datos o sistemas subyacentes, el formato usado es esencial para la prevención de errores y brechas de seguridad.

Tu aplicación contra la gestión de variables inesperadas

Sat, 21 Jul 2012 20:18:00 +0200

En entradas anteriores hice alusión al modo en el que un usuario ilegítimo de tu aplicación web puede hacer tentativas muy básicas de hacking del estilo que sigue:

http://servidor/aplicacion?administrador=TRUE

Seguro que esto te hace reflexionar sobre la importancia de no admitir y gestionar variables inesperadas, así que te muestro a continuación un pequeño código para excluir automáticamente valores inapropiados de tus scripts, pudiendo así asumir con certeza que el entorno global está saneado, incluso aunque el atacante remplace el código de tu web para enviar valores no esperados. La idea consiste en listar las variables esperadas por nuestro código en un array, y posteriormente usarlo para chequear las variables recibidas. ¡Es como una lista de invitados a una sala de fiestas pija!. Aunque este ejemplo está en PHP, como casi siempre, te recuerdo que la idea es fácilmente transportable a cualquier lenguaje de programación.

PHP on metroSetenta

¿Es PEAR la pera?

Longitud y formato también importan

Tu aplicación contra la gestión de variables inesperadas

Lo más básico contra ataques web