Problemi di sicurezza

il PHP è un potente linguaggio ed interprete,può essere incluso come un modulo del server web o come un CGI eseguibile separato. PHP può accedere ai files, eseguire comandi di shell e aprire connessioni di rete. Queste proprietà rendono qualsiasi cosa venga eseguito su un web server, non sicuro per default.

PHP, d'altro canto, è stato progettato specificatamente per essere un linguaggio per applicazioni web, più sicuro del PERL o del C e con la corretta configurazione di compilazione e di run-time, e la giusta maniera di scrivere il codice degli script, può fornire il giusto compromesso tra libertà e sicurezza, di cui necessitiamo.

Ci sono differenti modi di utilizzare il PHP e molte opzioni di configurazione per controllarne l'utilizzo. Un vasto numero di opzioni ne fanno un linguaggio versatile ma questo, in combinazione con le opzioni del server web, possono dare come risultato un configurazione poco sicura.

La flessibilità della configurazione rivaleggia con la flessibilità del codice.

Il PHP può essere usato per implementare una applicazione server completa che includa l'utilizzo e la potenza dei comandi di shell, così come puo essere usato solo per includere automaticamente pagine in un sito con poco o nessun rischio in un ambiente controllato. Come configurare questo ambiente, e quanto esso sia sicuro, dipende in gran parte dallo sviluppatore PHP.

Considerazioni generali

Un sistema sicuro completamente è virtualmente impossibile da realizzare, così spesso l'approccio del professionista è quello di bilanciare il rischio con la fruibilità del sistema.

Il giusto compromesso nella sicurezza, dovrebbe consentire di soddisfare le esigenze dell'utente senza sovraccaricarlo di lavoro e allo stesso tempo non oberare lo sviluppatore con una eccessiva complessità del codice. Spesso gli attacchi che si subiscono tendono semplicemente ad indurre gli sviluppatori a sovraccaricare il sistema con sistemi di sicurezza e a far consumare risorse.

Occorre ricordare sempre una frase: "un sistema è sicuro quanto lo è il suo componente più debole".

Se noi registriamo,attentamente e pesantemente, tutte le transazioni in base ad ora, data, provenienza, attività, ma poi autentichiamo l'utente attraverso il semplice uso di un cookie, la validità dell'attribuire ad un utente una transazione è fortemente indebolita.

Quando testate un'applicazione, considerate che non sarete capaci di verificare tutte le possibilità anche in una pagina molto semplice. Gli input che voi vi aspettate sono completamente slegati da quelli che può inserire un impiegato annoiato o un cracker con mesi di tempo da perdere, o un gatto domestico che passeggia sulla tastiera del computer.

Questo è il motivo per cui è meglio guardare al codice da una prospettiva logica, comprendere da dove possono essere inseriti dati non previsti e quindi verificare come possono essere modificati, ridotti o ampliati.

Internet è piena di "personaggi" che per farsi un nome cercano le falle del vostro codice, fanno cadere il vostro sito, postano contenuti non appropriati e vi rendono la giornata interessante con simili piacevolezze.

Non gli interessa se voi avete un piccolo od un grande sito, voi siete un obiettivo per il semplice fatto di essere on-line, perché avete un server che può essere connesso.

Molti programmi di cracking non controllano le dimensioni, semplicemente dragano blocchi massivi di indirizzi IP cercando vittime. Cercate di non diventare una di loro.