Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Emerson William

Segurança do código PHP

Por , em PHP

Recommended Posts

Emerson William    0

Emerson William
Postado

Estou fazendo uma aplicação de login em PHP e gostaria de saber tópicos que poderei pesquisar a respeito de vulnerabilidades, para evitar futuras invasões. Até agora, procurei fazer tudo da maneira mais segura, pesquisando antes. Algumas precauções que posso citar, são:

1 - Uso de PDO e prepared statements.

2 - Senha salva no banco com hash gerada pela API "password_compat" (Com SALT)

3 - Para sessões com login automático por COOKIES, um token e uma hash são salvos para autenticação, ao invés da hash da senha e do email.

4 - Configuração do .htaccess para não informar os dados do servidor e para negar o acesso à arquivos.

5 - Prevenção contra ataques de SQL Injection, CSRF e XSS.

Ah, também gostaria de saber se não estou falando bobagens por aqui, pois estou em fase de aprendizado!

Compartilhar este post

Link para o post
Compartilhar em outros sites

Éverson da Luz    6

Éverson da Luz
Postado

Olá Emerson,

tudo isso que você está fazendo esta correto e é uma boa prática, ajuda em muito na segurança.

Posso contribuir indicando a validação de POST e GET, não busque diretamente o valor na super global POST ou GET, mas use as funções de filtragem de dados

http://php.net/manual/pt_BR/book.filter.php

Com isso você consegue validar o que realmente deseja que venha no POST ou GET

Compartilhar este post

Link para o post
Compartilhar em outros sites

Emerson William    0

Emerson William
Postado

Opa, Everson, vou ler esse material.

Laerte, meu objetivo é esse mesmo. Estava usando o mysqli e migrei para o PDO.

Havia lido esse mesmo tutorial em outra página.

http://phpsp.org.br/mais-seguranca-em-aplicacoes-web-com-php/

O meu maior receio, são as invasões por COOKIES. Fiz uma lógica, mas não sei se é o suficiente.

Uma sessão é gravada no DB, com um uniquid random de uns 20 dígitos, uma hash criptografada, IP, horário que foi criado o registro, horário do último acesso e ID do usuário. Quando o usuário marca a opção "lembrar senha", além disso, gravo nos COOKIES o uniquid da sessão e a hash gerada.

Depois que isso é gravado, eu faço a autenticação futura dos usuários que marcaram a opção de lembrar a senha por esse uniquid e pela hash... Se alguém souber essa uniquid e hash, poderão acessar o sistema, certo? É complicado, mas tem algum meio de prevenção contra isso?

Implementei a opção para o usuário de encerrar as sessões existentes, mas isso não evita a invasão.

Compartilhar este post

Link para o post
Compartilhar em outros sites

LaerteDias    17

LaerteDias
Postado

Olha pelo que vejo estava no artigo que passei para você para melhorar a segurança:

*Limitar tempo de vida das sessões

*Cookies de sessão só serem acessados via http

* valida em cada pagina a origem da sessão

Use programas de identificação de vulnerabilidade: Mantra

Acho que essas dicas certamente farão seus sistema bem mais seguro

Compartilhar este post

Link para o post
Compartilhar em outros sites

Emerson William    0

Emerson William
Postado

Obrigado por responder, Laerte!

Então, fiz um tempo de vida das sessões, mas apenas para as sessões que não tem a opção de relembrar a senha, que duram 48 horas.

Sessões que os usuários marcam de lembrar a senha, coloquei o tempo de vida de 1 ano.

Sobre COOKIES somente serem acessados via HTTP, eu precisarei do acesso ao php.ini e no servidor que hospedei inicialmente, ainda não tenho. Também não testei localmente, mas com certeza é uma diretiva que irei adotar futuramente.

No caso da validação em cada página, eu faço.

Tentei usar o Mantra, mas pela falta de conhecimento, não consegui muita coisa. Na verdade, não sei se fiz certo... Fiz o download do programa e me deparei com praticamente um Mozilla modificado.

Não utilizo nenhum framework.

Compartilhar este post

Link para o post
Compartilhar em outros sites

LaerteDias    17

LaerteDias
Postado

Perguntei sobre framework. pois o cakePHP adota algum medidas de segurança. PHP IDS para melhorar a segurança lei sobre:

https://www.vivaolinux.com.br/artigo/PHPIDS-PHP-Intrusion-Detection-System-deixe-seu-site-livre-de-intrusos

PHPIDS (PHP-Intrusion Detection System) é um simples de usar, bem estruturado, rápido e camada de segurança state-of-the-art para a sua aplicação web baseado em PHP

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos PHP

  • Conteúdo Similar

    • ILR master
      Ler campos com caracteres especiais no xml
      Por ILR master
      Fala galera.
      Espero que todos estejam bem.
      Seguinte: Tenho um arquivo xml onde alguns campos estão com : (dois pontos), como o exemplo abaixo:
       
      <item>
      <title>
      d sa dsad sad sadasdas
      </title>
      <link>
      dsadas dsa sad asd as dsada
      </link>
      <pubDate>sadasdasdsa as</pubDate>
      <dc:creator>
      d sad sad sa ad as das
      </dc:creator>
      </item>
       
      Meu código:
       
      $link = "noticias.xml"; 
      $xml = simplexml_load_file($link); 
      foreach($xml -> channel as $ite) {     
           $titulo = $ite -> item->title;
           $urltitulo = $ite -> item->link;
           print $urltitulo = $ite -> item->dc:creator;
      } //fim do foreach
      ?>
       
      Esse campo dc:creator eu não consigo ler. Como faço?
       
      Agradeço quem puder me ajudar.
       
      Abs
       
       
    • First
      Sistema não funciona corretamente
      Por First
      Olá a todos!
       
      Eu estou criando um sistema do zero mas estou encontnrando algumas dificuldades e não estou sabendo resolver, então vim recorrer ajuda de vocês.
      Aqui está todo o meu código: https://github.com/PauloJagata/aprendizado/
       
      Eu fiz um sistema de rotas mas só mostra o conteúdo da '/' não sei porque, quando eu tento acessar o register nada muda.
      E eu também quero que se não estiver liberado na rota mostra o erro de 404, mas quando eu tento acessar um link inválido, nada acontece.
      Alguém pode me ajudar com isso? E se tiver algumas sugestão para melhoria do código também estou aceitando.
       
       
      Desde já, obrigado.
    • landerbadi
      Saber se todos os produtos de uma consulta estão cadastrados no banco de dados
      Por landerbadi
      Olá pessoal, boa tarde
       
      Tenho uma tabela chamada "produtos" com os seguintes campos (id, produto) e outra tabela chamada "itens" com os seguintes campos (id, prod_01, prod_02, prod_03, prod_04).
       
      Na tabela produtos eu tenho cadastrado os seguintes produtos: laranja, maçã, uva, goiaba, arroz, feijão, macarrão, etc.
       
      Na tabela itens eu tenho cadastrado os itens da seguinte maneira:
       
      1, laranja, uva, arroz, feijão;
      2, maçã, macarrão, goiaba, uva;
      3, arroz, feijão, maçã, azeite
       
      Meu problema é o seguinte: 
      Eu escolho um produto da tabela "produtos", por exemplo "uva".  Preciso fazer uma consulta na tabela "itens" para ser listado todos os registros que contenham o produto "uva" e que todos os demais produtos estejam cadastrados na tabela "produtos".
       
      No exemplo acima seria listado apenas dois registros, pois o terceiro registro não contém o produto "uva". 
       
      Alguém pode me ajudar? Pois estou quebrando a cabeça a vários dias e não consigo achar uma solução.
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito