PHP y MySQL - Protección de Bases de Datos y Aplicaciones

Contenidos explorados en detalle

Este curso profundiza en los aspectos críticos de seguridad en aplicaciones web desarrolladas con PHP y MySQL. Se abordan vulnerabilidades comunes como la inyección SQL, XSS (Cross-Site Scripting), CSRF (Cross-Site Request Forgery) y la manipulación de archivos. Aprenderás a proteger bases de datos mediante consultas preparadas, sanitización de datos y gestión segura de sesiones. También se cubren buenas prácticas en el manejo de formularios, autenticación robusta (hash de contraseñas con algoritmos como bcrypt), y protección contra ataques de fuerza bruta. El curso incluye técnicas avanzadas como el uso de tokens CSRF, cabeceras de seguridad HTTP (CSP, HSTS) y validación estricta de entradas.

• Implementar medidas contra inyección SQL y XSS en aplicaciones PHP/MySQL.
• Configurar autenticación segura y gestión de permisos a nivel de usuario.

Público objetivo de este PDF

Dirigido a desarrolladores web con conocimientos básicos de PHP y MySQL que buscan especializarse en seguridad. Ideal para administradores de sistemas que gestionan servidores LAMP/LEMP, técnicos en ciberseguridad aplicada al desarrollo, y estudiantes de informática que deseen comprender vulnerabilidades reales en entornos web. También es relevante para auditores técnicos que necesiten evaluar riesgos en aplicaciones legacy o nuevas implementaciones. No se requieren conocimientos avanzados previos en seguridad, pero sí familiaridad con sintaxis PHP y estructura de bases de datos relacionales.

Ejemplos prácticos y aplicaciones reales

Un caso práctico muestra cómo prevenir inyecciones SQL en un formulario de login: sustituyendo consultas directas (mysql_query()) por sentencias preparadas con PDO. Otro ejemplo simula un ataque XSS almacenado, donde se demuestra la sanitización con htmlspecialchars() antes de mostrar contenido en HTML. En escenarios reales, estos conocimientos evitan brechas como el robo de cookies de sesión o el compromiso de bases de datos completas (ejemplo: filtrado de datos de usuarios en un e-commerce).

Sectores de aplicación profesional

• Fintech : Protección de transacciones y datos sensibles en bancos online, usando encriptación AES para información almacenada en MySQL.
• Salud : Cumplimiento de HIPAA en sistemas de historias clínicas, implementando auditorías de acceso y doble factor de autenticación.
• E-commerce : Prevención de carding mediante CAPTCHAs y límites de intentos fallidos en pasarelas de pago con PHP.

Novedad 2025 : Auge de la autenticación passwordless (claves FIDO2) en reemplazo de contraseñas tradicionales en sectores gubernamentales.

Guía de términos importantes

• Prepared Statements : Consultas SQL donde los parámetros se enlazan de forma segura, separando lógica de datos para evitar inyecciones.
• OWASP Top 10 : Listado crítico de vulnerabilidades web publicado por Open Web Application Security Project.
• Salting : Adición de datos aleatorios a contraseñas antes de aplicar hash para dificultar ataques con rainbow tables.
• CORS (Cross-Origin Resource Sharing) : Mecanismo que restringe solicitudes HTTP entre dominios diferentes por políticas de seguridad.
• SQLi : Inyección SQL, técnica para manipular consultas mediante entradas no validadas.
• CSRF Token : Valor único en formularios que verifica la legitimidad de la solicitud.
• Content Security Policy (CSP) : Cabecera HTTP que limita recursos ejecutables para mitigar XSS.
• Session Hijacking : Robo de ID de sesión para suplantar identidades.
• HTTPS Strict Transport Security (HSTS) : Política que fuerza conexiones cifradas vía HTTP/SSL.
• Zero-Day Exploit : Ataque que aprovecha vulnerabilidades desconocidas antes de su parcheo.

Respuestas a preguntas frecuentes

¿Cómo evitar hackers en mi sitio PHP?
Implementa capas de defensa: usa PDO/MySQLi para consultas, filtra entradas con filter_var(), escapa salidas con htmlentities(), habilita HTTPS, actualiza PHP a la última versión estable (ej: 8.3), y restringe permisos de archivos (chmod 640 para config). Audita código con herramientas como SonarQube.

¿Qué es más seguro: MySQLi o PDO?
Ambos permiten prepared statements, pero PDO ofrece ventajas: soporta múltiples motores de BD (PostgreSQL, Oracle), named parameters en consultas, y mejor manejo de excepciones. MySQLi es específico para MySQL y requiere bind_param() explícito.

¿Cómo proteger archivos subidos por usuarios?
Valida tipo MIME (no solo extensión), renombra archivos con hashes, almacena fuera del root público, escanea con antivirus (ej: ClamAV), y establece límites de tamaño. Nunca ejecutes archivos subidos.

¿Por qué mi sitio fue hackeado si uso WordPress?
WordPress es frecuente objetivo por plugins vulnerables (ej: Elementor) y contraseñas débiles. Soluciones: actualiza core/plugins, usa temas premium, instala WPScan para detectar vulnerabilidades, y reemplaza wp-admin por URL personalizada.

¿Es seguro guardar contraseñas en MySQL?
Sí, si usas funciones como password_hash() con bcrypt (coste ≥12). Nunca almacenes en texto plano. Para máxima seguridad, combina con pepper (clave secreta global) y requieres 2FA para accesos críticos.

Ejercicios aplicados y estudios de caso

Proyecto 1: Firewall básico en PHP
Pasos: 1) Crea lista negra de IPs en tabla MySQL. 2) Implementa middleware que verifique $_SERVER['REMOTE_ADDR'] contra la lista. 3) Registra intentos bloqueados. 4) Añade CAPTCHA tras 3 intentos fallidos. Caso real: bloqueo de bots que escanean /wp-login.php.

Proyecto 2: Auditoría de seguridad
1) Escanea código con PHPStan. 2) Testea inyecciones con sqlmap en entorno controlado. 3) Verifica cabeceras con SecurityHeaders.io. 4) Simula ataques XSS mediante payloads como <script>alert(1)</script>. Basado en brecha de Equifax (2017) por falta de sanitización.