Seguridad PHP

Siempre validando…. vaya engorro… pero qué importante es!

Ya hemos programado un JavaScript magnífico para filtrar nuestro formulario de registro… somos auténticos cracks del JavaScript, nadie podrá introducir un cadena de texto en nuestros campos numéricos… ERROR!

Las validaciones en el lado del cliente (típicas validaciones de formulario mediante Javascript o VBScript) son importantes respecto a la usabilidad del sistema pero dudosamente efectivas para la seguridad de nuestras aplicaciones. Todo el código descargado e interpretado por el navegador del usuario es totalmente vulnerable (código HTML, JavaScript, VBScript, CSS, etc.), sólo tenemos que guardar la página en el escritorio, manipularla y toda nuestra credibilidad como cracks del Javascript se habrá puesto en duda. Y no sólo eso… cuando pulsamos sobre el botón de “aceptar” del formulario nuestros magníficos datos filtrados viajan por internet, pasando por múltiples servidores proxy y cortafuegos, de manera que “cualquiera” puede interceptar mi información y manipularla. Qué mala pinta!

Para que esto no ocurra llamaremos a PHP al rescate, del lado del servidor validaremos los datos y todo dependerá de nosotros (que alivio). ¿Y cómo se hace esto? pues no existe un barita mágica que nos filtre y valide nuestros datos, todo dependerá del tipo y características de los mismos. En artículos siguientes debatiremos sobre algunas de las formas y técnicas de validación, esto es sólo el comienzo.

Para todos aquellos programadores PHP con inquietudes, que no sólo se conforman con que sus aplicaciones web funcionen, sino que simplemente quieren hacer bien su trabajo.

Muchos se preguntan … ¿seguridad? ¿para qué? ¿por qué perder el tiempo? el cliente no lo va a pagar…

Y yo me pregunto… ¿quizás son excusas? ¿es posible que no tengamos ni idea? es sólo una cuestión de costumbres….

Es cierto que todos los proyectos siempre se pueden mejorar y que la seguridad hay que aplicarla en su justa medida. El programador debe ser lo suficientemente coherente para finalizar sus desarrollos con la responsabilidad de controlar los costes. No podemos destinar 20 horas a proteger unos datos totalmente irrelevantes o no podemos subestimar el valor de la información, debemos de ser “coherentes”.

En este blog voy a intentar hablar sobre una serie de “buenas costumbres” para eliminar esos vicios que hacen nuestro trabajo vulnerable. Con un poco de dedicación conseguiremos que la seguridad no sea un coste añadido ni una cosa de locos, sino un trabajo bien hecho.