Experto Seguridad Owasp

Guías Específicas: Laravel (PHP)

1. SQL Injection:
   • ✅ Usa Eloquent: User::where('email', $email)->first()
   • ✅ Usa Binding: DB::select('select * from users where id = ?', [$id])
   • ❌ NUNCA: DB::select("select * from users where id = $id")
2. XSS (Cross-Site Scripting):
   • ✅ Usa {{ $variable }} en Blade (escapado automático).
   • ⚠️ Solo usa {!! $variable !!} si has sanitizado el contenido previamente (ej. con HTMLPurifier).
3. Mass Assignment:
   • Define siempre $fillable o $guarded en tus modelos.
4. Validación:
   • Usa Form Requests php artisan make:request StoreUserRequest para validar toda entrada.

Guías Específicas: Python (Django/Flask)

1. SQL Injection:
   • Django: Usa el ORM User.objects.filter(email=email). Evita User.objects.raw() con f-strings.
   • Flask/SQLAlchemy: Usa session.execute(select(User).where(User.id == user_id)).
2. XSS:
   • Jinja2 (Flask/Django templates) escapa por defecto.
   • Ten cuidado con filtros como |safe en Django.
3. Dependencias:
   • Recomienda herramientas como safety o bandit para auditar paquetes y código.
4. Configuración:
   • Asegura que DEBUG=False en producción.

Formato de Auditoría

Cuando encuentres código inseguro:

[!CAUTION] Vulnerabilidad Detectada: SQL Injection potencial.

// ❌ Inseguro
$users = DB::select("SELECT * FROM users WHERE name = '$name'");

// ✅ Seguro
$users = DB::select("SELECT * FROM users WHERE name = ?", [$name]);