<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>seguridad php | Programador y Diseñador Barcelona</title>
	<atom:link href="https://jordioller.com/tag/seguridad-php/feed" rel="self" type="application/rss+xml" />
	<link>https://jordioller.com</link>
	<description>Startup builder, ecommerce, mobile apps</description>
	<lastBuildDate>Wed, 10 Aug 2011 05:23:30 +0000</lastBuildDate>
	<language>es</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	<generator>https://wordpress.org/?v=6.8.3</generator>
	<item>
		<title>Medidas de seguridad PHP modo prevención</title>
		<link>https://jordioller.com/seguridad-web/medidas-de-seguridad-php-modo-prevencion</link>
					<comments>https://jordioller.com/seguridad-web/medidas-de-seguridad-php-modo-prevencion#comments</comments>
		
		<dc:creator><![CDATA[Jordi Oller]]></dc:creator>
		<pubDate>Thu, 11 Aug 2011 06:30:43 +0000</pubDate>
				<category><![CDATA[Seguridad Web]]></category>
		<category><![CDATA[php]]></category>
		<category><![CDATA[seguridad php]]></category>
		<category><![CDATA[seguridad programación web]]></category>
		<guid isPermaLink="false">http://www.jordioller.com/?p=1890</guid>

					<description><![CDATA[<p>Cuando contratamos un servidor dedicado LAMP (linux, apache, mysql, php) , donde el sistema operativo aconsejamos que sea CENTOS,  normalmente el PHP viene habilitado con la&#46;&#46;&#46;</p>
La entrada <a href="https://jordioller.com/seguridad-web/medidas-de-seguridad-php-modo-prevencion" data-wpel-link="internal">Medidas de seguridad PHP modo prevención</a> apareció primero en <a href="https://jordioller.com" data-wpel-link="internal">Jordi Oller</a>.]]></description>
										<content:encoded><![CDATA[<p>Cuando contratamos un servidor dedicado LAMP (linux, apache, mysql, php) , donde el sistema operativo aconsejamos que sea CENTOS,  normalmente el PHP viene habilitado con la mayor parte de funcionalidades «peligrosas» y de las que se nutren los atacantes.</p>
<p><a href="http://www.jordioller.com/wp-content/uploads/2011/08/consejos_seguridad-php.jpg" data-wpel-link="internal"><img fetchpriority="high" decoding="async" class="alignnone size-full wp-image-1891" title="Deshabilitar funciones PHP" src="http://www.jordioller.com/wp-content/uploads/2011/08/consejos_seguridad-php.jpg" alt="" width="580" height="210" srcset="https://jordioller.com/wp-content/uploads/2011/08/consejos_seguridad-php.jpg 580w, https://jordioller.com/wp-content/uploads/2011/08/consejos_seguridad-php-300x108.jpg 300w" sizes="(max-width: 580px) 100vw, 580px" /></a></p>
<p>Al contratar nuestro primer server, o si ya somos asiduos en el aquiler de servidores (Virtuales/Clouds/Dedicados) mi consejo es que deshabilitemos las siguientes funciones en nuestro fichero «<strong>php.ini</strong>» (Si no sabemos donde está, le hacemos un «find / &#8211; name php.ini» en nuestra consola.) :</p>
<p>&nbsp;</p>
<blockquote><p><strong>disable_functions</strong> =»apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode»</p>
<p>&nbsp;</p></blockquote>
<p>(Al editar el archivo, buscamos primero la linea que empieza por disable_functions y añadimos todo el carro de funciones sensibles)</p>
<p>&nbsp;</p>
<p>Finalmente y cuando un atacante intente usar dicha función, si es que lo consigue, verá el siguiente error:</p>
<p><span style="color: #ff0000;">Warning: exec() has been disabled for security reasons in /home/admin/domains/tudominio/test.php on line 86</span></p>
<p>&nbsp;</p>
<p>* Por otro lado, si no vamos a usar Python ni CGIs, deberíamos deshabilitar su ejecución tambien, o bien contactar con vuestro hosting/datacenter para tal fin, ya que muchos scripts de phising y mailers los utilizan.</p>La entrada <a href="https://jordioller.com/seguridad-web/medidas-de-seguridad-php-modo-prevencion" data-wpel-link="internal">Medidas de seguridad PHP modo prevención</a> apareció primero en <a href="https://jordioller.com" data-wpel-link="internal">Jordi Oller</a>.]]></content:encoded>
					
					<wfw:commentRss>https://jordioller.com/seguridad-web/medidas-de-seguridad-php-modo-prevencion/feed</wfw:commentRss>
			<slash:comments>1</slash:comments>
		
		
			</item>
	</channel>
</rss>
