PHP es un poderoso lenguaje e int茅rprete, ya sea incluido como parte de un servidor web en forma de m贸dulo o ejecutado como un binario CGI separado, es capaz de acceder a archivos, ejecutar comandos y abrir conexiones de red en el servidor. Estas propiedades hacen que cualquier cosa que sea ejecutada en un servidor web sea insegura por naturaleza. PHP est谩 dise帽ado espec铆ficamente para ser un lenguaje m谩s seguro para escribir programas CGI que Perl o C, y con la selecci贸n correcta de opciones de configuraci贸n en tiempos de compilaci贸n y ejecuci贸n, y siguiendo algunas pr谩cticas correctas de programaci贸n, PHP le puede dar la combinaci贸n precisa de libertad y seguridad que usted necesita.
Ya que hay muchas maneras de utilizar PHP, existen varias opciones de configuraci贸n dise帽adas para controlar su comportamiento. Un amplio rango de opciones le garantizan que pueda usar PHP para muchos prop贸sitos distintos, pero tambi茅n quiere decir que hay combinaciones de 茅stas opciones y configuraciones de servidor que pueden resultar en un entorno inseguro.
El nivel de flexibilidad en la configuraci贸n de PHP se compara quiz谩s solo con su flexibilidad de desarrollo. PHP puede ser usado para escribir aplicaciones completas de servidor, con todo el poder de un usuario de un int茅rprete de comandos, o puede ser usado para inclusiones simples del lado del servidor con muy poco riesgo en un entorno minuciosamente controlado. C贸mo construir ese entorno, y qu茅 tan seguro es, b谩sicamente depende del desarrollador PHP.
Este cap铆tulo comienza con algunas recomendaciones generales de seguridad, explica las diferentes combinaciones de opciones de configuraci贸n y las situaciones en las que pueden ser usadas con seguridad, y describe diferentes consideraciones a la hora de programar para diferentes niveles de seguridad.