<?xml version="1.0" encoding="utf-8"?>

<chapter xml:id="security.variables" xmlns="http://docbook.org/ns/docbook">

<title>Datos Enviados por el Usuario</title>

<para>

Las mayores debilidades de muchos programas <acronym>PHP</acronym> no son inherentes al

lenguaje mismo, sino simplemente un problema generado cuando se escribe

código sin pensar en la seguridad. Por esta razón, usted debería tomarse

siempre el tiempo para considerar las implicaciones de cada pedazo de

código, para averiguar el posible peligro involucrado cuando una variable

inesperada es enviada.

<example>

<title>Uso Peligroso de Variables</title>

<programlisting role="php">

</programlisting>

</example>

</para>

<para>

Usted debería examinar siempre, y cuidadosamente su código para asegurarse

de que cualquier variable siendo enviada desde un navegador web sea

chequeada apropiadamente, y preguntarse a sí mismo:

<itemizedlist>

<listitem>

<simpara>

¿Este script afectará únicamente los archivos que se pretende?

</simpara>

</listitem>

<listitem>

<simpara>

¿Puede tomarse acción sobre datos inusuales o indeseados?

</simpara>

</listitem>

<listitem>

<simpara>

¿Puede ser usado este script en formas malintencionadas?

</simpara>

</listitem>

<listitem>

<simpara>

¿Puede ser usado en conjunto con otros scripts en forma negativa?

</simpara>

</listitem>

<listitem>

<simpara>

¿Serán adecuadamente registradas las transacciones?

</simpara>

</listitem>

</itemizedlist>

</para>

<para>

Al preguntarse adecuadamente estas preguntas mientras escribe su script,

en lugar de hacerlo posteriormente, usted previene una desafortunada

re-implementación del programa cuando desee incrementar el nivel de

seguridad. Al comenzar con esta mentalidad, no garantizará la seguridad de

su sistema, pero puede ayudar a mejorarla.

</para>

<para>

Mejore la seguridad deshabilitando las configuraciones de conveniencia que

oscurecen el origen, la validez o la integridad de los datos de entrada.

La creación implícita de variables y la entrada no verificada pueden llevar a

vulnerabilidades como ataques de inyección y manipulación de datos.

</para>

<para>

Características como <literal>register_globals</literal> y

<literal>magic_quotes</literal> (ambas eliminadas en PHP 5.4.0) contribuyeron

a estos riesgos al crear automáticamente variables a partir de la entrada del

usuario y escapar datos de manera inconsistente. Aunque ya no están en PHP,

riesgos similares persisten si la gestión de la entrada es incorrecta.

</para>

<para>

Habilite <link linkend="function.error-reporting">error_reporting(E_ALL)</link> para

ayudar a detectar variables no inicializadas y validar la entrada. Utilice

tipos estrictos (<link linkend="language.types.declarations.strict">declare(strict_types=1)</link>,

introducido en PHP 7) para imponer la seguridad de tipos, prevenir conversiones

de tipos no intencionadas y mejorar la seguridad general.

</para>

</chapter>