Sistema Seguro
Hola choogal,
te comento que estoy desarrollando un aplicación con php y msqyl corriendo sobre apache, dicha aplicación contiene información confidencial de la empresa en la que laboro, a este sistema solo pueden ingresar determinados usuarios ingresando su respectiva contraseña, si los datos son correctos los redirecciono al menu principal, y dentro de cada página estoy trabajando con variables de session para hacer la respectiva validación. Ahora mi pregunta es que requerimientos debo solicitar a mi administrador del servidor para que esta información este lo más segura posible, o de repente que cosas debo añadir dentro de mis scripts php para que este aplicativo sea 100 %seguro. Lo que si no puedo hacer es pedirle al administrador que permita el acceso al sistema por Ip ya que varias personas van a ingresar desde diversas partes.
De antemano muchas gracias, y disculpa por el rollo ;)
Saludos,
Alexis
te comento que estoy desarrollando un aplicación con php y msqyl corriendo sobre apache, dicha aplicación contiene información confidencial de la empresa en la que laboro, a este sistema solo pueden ingresar determinados usuarios ingresando su respectiva contraseña, si los datos son correctos los redirecciono al menu principal, y dentro de cada página estoy trabajando con variables de session para hacer la respectiva validación. Ahora mi pregunta es que requerimientos debo solicitar a mi administrador del servidor para que esta información este lo más segura posible, o de repente que cosas debo añadir dentro de mis scripts php para que este aplicativo sea 100 %seguro. Lo que si no puedo hacer es pedirle al administrador que permita el acceso al sistema por Ip ya que varias personas van a ingresar desde diversas partes.
De antemano muchas gracias, y disculpa por el rollo ;)
Saludos,
Alexis
2 Respuestas
Respuesta de Oscar Tobar
1
Bueno para garantizar la seguridad debes tener en cuenta la seguridad de tu aplicación y la seguridad de los datos.
Por parte de la seguridad de los datos puede hacer los siguiente.
Primero que todo, verificar los privilegios de los usuarios. Si solamente hacen consultas entonces solo darles permiso de select. Quien pueda actualizar darle el permiso de actualiza, etcr. Es muy importante que solamente se les de permiso a las bases de datos que usan, no a todas. Mire las opciones del GRANT y REVOQUE
En cuanto a PHP mire las funciones de OpenSSL
en http://www.php.net/manual/es/ref.openssl.php
y las funciones de encriptación para el uso de cadenas
http://www.php.net/manual/es/ref.mcrypt.php
Por parte de la seguridad de los datos puede hacer los siguiente.
Primero que todo, verificar los privilegios de los usuarios. Si solamente hacen consultas entonces solo darles permiso de select. Quien pueda actualizar darle el permiso de actualiza, etcr. Es muy importante que solamente se les de permiso a las bases de datos que usan, no a todas. Mire las opciones del GRANT y REVOQUE
En cuanto a PHP mire las funciones de OpenSSL
en http://www.php.net/manual/es/ref.openssl.php
y las funciones de encriptación para el uso de cadenas
http://www.php.net/manual/es/ref.mcrypt.php
Respuesta de choogal
1
Me imagino que en cada página compruebas que las variables de usuario y password son de un usuario válido.
Con las variables de sesión y comprobando en todas las páginas de la web (puedes hacerlo en un archivo aparte y luego meterlo con un include en cada página) que esas variables de usuario y password corresponden a un usuario registrado en tu BBDD basta para tener un sistema bastante fiable. Si los datos de los que hablamos son datos sensibles como el NIF, núm. Tarjeta de crédito, etc. Debes contratar un certificado de seguridad (como Verisign) para que dichas páginas estén en un entorno seguro (https).
Con las variables de sesión y comprobando en todas las páginas de la web (puedes hacerlo en un archivo aparte y luego meterlo con un include en cada página) que esas variables de usuario y password corresponden a un usuario registrado en tu BBDD basta para tener un sistema bastante fiable. Si los datos de los que hablamos son datos sensibles como el NIF, núm. Tarjeta de crédito, etc. Debes contratar un certificado de seguridad (como Verisign) para que dichas páginas estén en un entorno seguro (https).