Algunos tips de seguridad en PHP

Hace días vengo observando constantes “Scaneos” hacia las webs que hosteamos en invisionarg, lo más extraño de esto, es que los escaneos provienen de servidores web infectados, y nosotros seríamos uno de esos si no contaramos con mod_security.

La seguridad en PHP es algo que no se debe dejar de lado, y si te considerás un buen coder deberías estar asumiendo que todos tus códigos deben SER SEGUROS.

Para empezar, hay diferentes formas de asegurar tu código, pero la principal siempre es: Comprobar todo lo que pueda ser enviado por el usuario hacia tu sitio web.


¿Qué variables datos puede enviar un usuario a mi sitio web?


Hablamos de usuarios, cuando los usuarios normales van a llenar los datos como corresponde, sin embargo hay usuarios y scaners mal intencionados que lo que harán es enviar cierta información a nuestro sitio web con el fin de explotar una falla de seguridad.

Las variables que pueden ser enviadas por el usuario son:
$_POST
$_GET
$_COOKIE

Por otro lado, hay gente que por nueva en esto y necesidad economica, trabaja y no sigue los pasos coherentes.
Si usamos  las variables GET (Que son  las variables que se envian mediante la URL) debemos comprobar de diferentes formas.

Por ejemplo, tusitio.com/?seccion=contactenos … Ví casos en los que en el código se incluye
include($_GET[seccion].”.php”);

Está MAL, puede derivar en una falla de seguridad enorme, y sin saberlo ayudar a los mal intencionados a tener mayor cantidad de Bots, o si bien perjudicar a tu cliente, o a vos mismo si el sitio es personal.

Una manera segura de manejar secciones de esa manera:

switch($_GET["seccion"]) {
case  “contactenos”:*
include(“contactenos.php”);
break;


default:
include(“error.php”);


}

Podemos armar una clase, o armalo con IF and Elseif, pero nunca directamente.
Otro de los casos que ví es que envian directamente a la BD los datos ingresados por el usuario, inclusive el ID

por ejemplo : tupagina.com/?id=1 -> envio acá por metodo post: nombre y apellido

mysql_query(“insert into tabla (nombre,apellido,seccion) values (‘$_POST[nombre]‘,’$_POST[apellido]‘,’$_GET[id]‘)”,conexion);

Está MAL

la manera correcta sería comprobar y tirar un error si no se cumple el parametro, por ejemplo:

if (!eregi(“^[a-z  áéíóúñ]{1,15}”,$_POST["nombre"]) ||  !eregi(“^[a-z  áéíóúñ]{1,15}”,$_POST["apellido"]) || !ereg(“^[0-9]+$”,$_GET["id"])) {
echo “Error”;
}


else {
$id = mysql_real_escape_string($_GET["id"]);
$nombre = mysql_real_escape_string($_POST["nombre"]);
$apellido = mysql_real_escape_string($_POST["apellido"]);


mysql_query(“insert into tabla (nombre,apellido,seccion) values (‘$nombre’,'$apellido’,'$id’)”,conexion);


}

En fin, por ahora esto es solo un tip de seguridad y espero que sirva.

Buscar php

 search.php3 

<form method="post" action="result.php3">
<select name="metode" size="1">
<option value="row_name1">metode1</option>
<option value="row_name2">metode2</option>
</select>
<input type="text" name="search" size="25">
<input type="submit" value="Begin Searching!!">
</form>

result.php3

<? $hostname = "127.0.0.1"; // Usualmente en localhost. $username = "username_for_mysql"; // Usuario de MySQL. $password = "your_password"; // Contraseña. $usertable = "table_name"; // Tabla que vas a trabar. $dbName = "database_name"; // Es la base de datros principal para conectar. MYSQL_CONNECT($hostname, $username, $password) OR DIE("No se puede conectar a la base de datos"); @mysql_select_db( "$dbName") or die( "No se puede seleccionar la DB"); ?> <? //error message (el mensaje no se encuentra) $XX = "No se encontró registro"; $query = mysql_query("SELECT * FROM cheat WHERE $metode LIKE '%$search%' LIMIT 0, 30 "); while ($row = mysql_fetch_array($query)) { $variable1=$row["row_name1"]; $variable2=$row["row_name2"]; $variable3=$row["row_name3"];
print ("esta es $variable1, y imprime la variable2...."); } //Función cuando no encuentra registro!! if (!$variable1) { print ("$XX"); } //end ?>  

Restar dias a una fecha en PHP

Un post super cortito, pero bien útil para cuando necesitamos restarle días (u horas) a una fecha.
Simplemente tomamos time() que nos da el tiempo actual en segundos y le restamos la cantidad de segundos que querramos (60 para un minuto, 60*60 para una hora, o 24*60*60 para un día entero).


Por ejemplo:

// Restamos un día
$fecha_menos24hs = date('Y-m-d H:i:s',time()-(24*60*60));
 
// Restamos dos días
$fecha_menos48hs = date('Y-m-d H:i:s',time()-(2*24*60*60));
 
// Restamos siete horas
$fecha_menos7hs = date('Y-m-d H:i:s',time()-(7*60*60));

Espero que les haya sido útil ;)

Trucos pet society 2012: monedas

Las monedas en pet society son muy importantes ya que con ellas podrás adornar tu casa y comprar diversos objetos para tu mascota. Con este truco para pet society 2012 podrán conseguir monedas fácilmente. Bueno empecemos con este truco:

Necesitas:
Fiddler 2 Web Debugger. [Descargar Fiddler]
Google Chrome – Firefox – Internet Explorer.
WinRar ó WinZip.
Archivo Requerido [Descargar]

Pasos:

Abrimos el Fiddler.
Entramos a Pet Society
En el Fiddler, buscamos la línea: “uzsOEWZaLK” y la seleccionamos.
Clic en “Autoresponder”.
Marcas las dos opciones: “Permit…” y “Enable…”.
Clic en “Add”.
Seguidamente, abajo le dás  clic en “Find a File”.
Buscar y abrir el archivo: “Collaborativeitems.dat” (descargado anteriormente).
Clic en “Save”.
Actualizamos ó recargamos la página de Pet Society.
Nos dirigimos a una habitación, en el costado izquierdo encontraremos un martillo donde se encuentran los Collaborativeitems y ahí estará el ticket que saldrá con un valor de 90 cash pero al hacer clic se comprará con 90 monedas amarillas, luego abrimosGolden ticket y nos aparecerá un muñeco y otros 2 objetos los cuales se venden en 357 monedas. El muñeco a 299 y los otros dos objetos a 29 coins cada uno. Por lo cual si compramos 99 ticket  ganaríamos muchoscoins. 90 x 99 = 8910 gastaríamos y ganaríamos 357 x 99 = 35.343 coins.

Espero que les haya gustado este truco para pet society enero 2012 no olvides compartir este truco con tus amigos.

Trucos Magic Land

Todos sabemos que tener mas amigos en Magic Land en Facebok es una ventaja increible que todos deseamos en el juego. El problema es que no todos nuestros contactos juegan a este juego, sobre todo porque es un juego muy nuevo, por lo que nos limitan nuestras posibilidades, salvo que escribamos en las paginas de fans o foros (que hablan en ingles). Es por eso que les traigo un pequeño truco de Magic Land en Facebok para tener mas vecinos de una manera totalmente facil.

Para tener mas amigos en Magic Land en Facebok, todo lo que deben hacer es seguir los siguientes pasos:

• 1) Dirijanse hacia abajo hasta que encuentren la zona de comentarios, que se ve como la siguiente imagen y hagan clic en el boton que dice “Connect”, el cual se remarca en rojo en la imagen:

• 2) Les aparecera una ventana emergente en el que se le requerira permiso para acceder a su perfil de Facebook, para lo que deberan hacer clic en el boton que dice “Allow”, el cual se encuentra en la esquina inferior derecha, como se ve en la siguiente imagen:

• 3) A continuacion, vuelvan a hacer clic en el boton que dice “Connect” 

• 4) Luego tan solo escriban alguna frase como comentario que diga algo similar a esto: “Agreguenme”, “Necesito vecinos para Magic Land en Facebok por favor”, o algo similar.

• 5) Por ultimo, hagan clic en los nombres de las personas que ya han dejado su comentario, para poder acceder a su perfil de Facebook y agreguenlas como vecinos en el juego. Les aconsejo que en la solicitud de amistad envien un pequeño mensaje para notificar que se trata de una amistad para jugar Magic Land en Facebok:

Lady Gaga crea su propio sitio de redes sociales | Entretención | LA TERCERA

Lady Gaga crea su propio sitio de redes sociales | Entretención | LA TERCERA

Tras haber sido la primera en alcanzar los 18 millones de seguidores en Twitter el mes pasado, coronándose la reina indiscutible del microblogging, Lady Gaga lanza su propio sitio de redes sociales, para interactuar directamente con sus fans en el ciberespacio.

El sitio Little Monsters, como se llama la última creación de la excéntrica cantante, aún no está operativo, pero los visitantes son alentados a dejar su nombre y dirección de correo electrónico pidiendo ser invitados a formar parte de la nueva plataforma. Y pronto, como reza la respuesta automática del sitio, recibirán la invitación oficial.

Pintan pollos de colores al estilo de Angry Birds

En el Chinatown de Manila, Filipinas; los comerciantes se las han ingeniado para vender más pollos a los niños y coleccionistas de excentricidades que buscan una mascota diferente: los pintan de colores y los anuncian como los pollitos de Angry Birds. Sí, estoy hablando del juego desarrollado por Rovio.
Se supone que los vendedores solamente usan colorantes de alimentos, que en teoría no le hacen daño al ave y que a la primera lavada, el pollo empezaría a recobrar su color natural. La verdad, tengo que decir que en México vienen haciendo esta práctica desde hace años, aunque todavía no lo relacionan con los Angry Birds.
Lo malo del asunto es que no le pagan derechos a Rovio -este comentario es sarcástico-, pero más importante, los animales mueren al poco tiempo por el estrés que les ocasionan sus nuevos amos. ¿Los aventarán al más puro estilo del juego? Además esto va contra las leyes del bienestar animal, que tratan de proteger a los animales de todo el mundo.
A continuación el video donde aparecen los coloridos protagonistas. ¿En verdad se parecen a los pajaritos de Angry Birds?

Link: Pintan pollos de colores para que se asemejen a los de Angry Birds (Emol)