{"id":5615,"date":"2021-07-13T13:00:00","date_gmt":"2021-07-13T11:00:00","guid":{"rendered":"https:\/\/carontestudio.com\/blog\/?p=5615"},"modified":"2023-10-30T10:47:33","modified_gmt":"2023-10-30T09:47:33","slug":"programar-en-php-de-forma-segura","status":"publish","type":"post","link":"https:\/\/carontestudio.com\/blog\/programar-en-php-de-forma-segura\/","title":{"rendered":"Programar en PHP de forma segura"},"content":{"rendered":"\n

Hoy en d\u00eda PHP<\/a> sigue siendo uno de los lenguajes m\u00e1s utilizados del mundo<\/strong> en cuanto a desarrollo web se refiere, es c\u00f3modo, intuitivo y f\u00e1cil de programar. Que sea uno de los lenguajes de programaci\u00f3n web m\u00e1s utilizados es tambi\u00e9n su punto d\u00e9bil, ya que una mala practica a la hora de programar, o una mala configuraci\u00f3n de seguridad, pueden hacer que tu sitio web acabe siendo hackeado<\/strong>, por eso es importante saber c\u00f3mo programar en PHP de forma segura.<\/p>\n\n\n\n

Miles de sitios web son hackeados a diario<\/strong> y en muchos de estos casos se debe al uso de malas pr\u00e1cticas, configuraciones err\u00f3neas en el servidor o por no saber programar en PHP de forma segura.<\/p>\n\n\n\n

Por ello en este art\u00edculo vamos a ver que buenas practicas podemos seguir para programar en PHP de forma segura y configurar correctamente nuestro servidor web.<\/p>\n\n\n\n

Ocultar versi\u00f3n de php<\/h2>\n\n\n\n
\"Programar<\/figure>\n\n\n\n

Mostrar la versi\u00f3n de una aplicaci\u00f3n, plugin, programa, o lenguaje de programaci\u00f3n, sea PHP o no, te expone gravemente<\/strong>, es un problema de seguridad importante. <\/p>\n\n\n\n

Siempre que se publican actualizaciones de versiones se publican tambi\u00e9n los errores y fallos corregidos<\/strong>. De modo que conociendo la versi\u00f3n de PHP que utilizas los atacantes podr\u00e1n aprovechar fallos de seguridad<\/strong> para hacerse con el control de tu sitio web.<\/p>\n\n\n\n

Para evitar mostrar la versi\u00f3n de PHP, hay que a\u00f1adir la siguiente linea de c\u00f3digo en el archivo php.ini<\/strong> del servidor.<\/p>\n\n\n\n

expose_php=Off<\/code><\/pre>\n\n\n\n
Desactivar errores en pantalla<\/h2>\n\n\n\n
Cuando estamos desarrollando es muy \u00fatil<\/strong> tener los errores en pantalla activados de modo que cuando algo falle podamos localizarlo r\u00e1pidamente, sin embargo, una vez hemos terminado de desarrollar es conveniente desactivar los errores en pantalla<\/strong>. Ya que si algo falla, PHP puede mostrar en pantalla informaci\u00f3n confidencial<\/strong>, por ejemplo, informaci\u00f3n de la base de datos (nombres de tablar), nombre de los ficheros PHP, rutas, etc.<\/p>\n\n\n\n
Para evitar estos problemas debemos editar el fichero php.ini<\/strong> de nuestro servidor y a\u00f1adir la linea:<\/p>\n\n\n\n
display_errors = Off<\/code><\/pre>\n\n\n\n
De este modo evitaremos mostrar informaci\u00f3n importante en pantalla.<\/p>\n\n\n\n
Evitar incluir archivos remotos<\/h2>\n\n\n\n
La sentencias PHP ‘include’<\/strong> y ‘require’ <\/strong>nos permiten incluir archivos para reutilizar c\u00f3digo, es algo imprescindible ya que nos permite organizar nuestro proyecto de forma mucho m\u00e1s eficiente. El problema reside, en que permite incluir archivos de otros servidores<\/strong>. <\/p>\n\n\n\n
Esto acarrea varios problemas:<\/p>\n\n\n\n