Comprobar seguridad de la web con php

Lo primero que tenemos que hacer para que nuestra aplicación sea segura, es asegurarnos que comprobamos todos los datos que introduce el visitante y actuar si no es un dato esperado por la aplicación.

El siguiente paso es comprobar si nuestra aplicación es segura, pero, ¿como lo comprobamos?

Existe un proyecto llamado phpsecinfo, que nos comprueba la web en busca de vulnerabilidades en formato de phpinfo. Para poder usarlo no hay más que descargarlo de la web del proyecto, descomprimirlo en una carpeta de nuestro servidor (accesible desde la web) y llamar al script desde el navegador.

También podemos hacer un script propio (suponiendo que lo hemos extraido en la carpeta PhpSecInfo):

<?php require_once("PhpSecInfo/PhpSecInfo.php"); phpsecinfo(); ?>

Hay que tener mucho cuidado de no dejarla accesible por nadie (inluidos los robots de los buscadores) ya que mostraríamos nuestras vulnerabilidades al público.

El resultado será más o menos así:

Cabe destacar que es un test sencillo para saber si nuestra web cumple con un mínimo de seguridad. Que no nos dé ningún error no quiere decir que nuestra aplicación sea totalmente segura.

Para solucionar los fallos, dispone de una guía de seguridad.