Segurança no Apache e PHP

Olá pessoal,

Programo já faz tempo em PHP, mas ultimamente venho me perguntando: será que meus sistemas estão realmente seguros? (isso ignorando a segurança do servidor em si, apenas meus códigos *.php e o .htaccess do Apache)

Que precauções devo ter?

Uma das coisas que cuido são:

SQL Injection.

Resolvo com isto, exemplo:

if (!get_magic_quotes_gpc()) {

	//foreach($d as $k => $v) $d[$k] = addslashes(trim($v));
	$prenome	= addslashes(trim($prenome));
	$sobrenome = addslashes(trim($sobrenome));
	$email = addslashes(trim($email));
}

Algo mais devo preocupar-me?

Em relação ao mod_rewrite do .htaccess do Apache 1.3.3?

Desde já agradeço a ajuda.

Obs.: pesquisei no fórum e não achei nada relacionado.

Discussão (3)

Entre ou cadastre-se para participar da discussão

Entrar Criar conta

[

[ GuTo ]· 7 de nov.

Pessoal, aceito comentários...

Faço outros tratamentos tbm... como verificar se a página realmente veio pelo método POST, quando vier unicamente de um form que usa o methodo post.. estas coisas...

Existe alguma falha/bug no PHP ou no Apache que deixe alguém invadir o site, subir arquivos ou edita-los?

Paulo André· 7 de nov.

Basicamente, qualquer entrada feita por qualquer um para o seu banco de dados, isto inclui consultas também, é motivo de se preocupar com segurança.

Outra função que retira possíveis códigos maliciosos inseridos pelos usuário é a strip_tags(), que retira tags HTML e PHP de uma string.

É importante também observar também o possível "infiltramento" de variáveis vindas de outras páginas, caso use constantemente URL's externas, por este motivos grande parte dos servidores vem com a allow_url_open da configuração do servidor desabilitada.

Sobre o mod-rewrite, se é que você usa para fazer as chamadas url's amigáveis, até onde meus conhecimentos vão, o objetivo é deixar a URL amigável, como o próprio nome diz, de uma forma simples de decorar, maior possibilidade de indexação por sites com mecanismos de busca já que alguns caracteres como '?' e '&' dificultam esta indexação. Não conheço a fundo o uso do mod-rewrite, sei somente para isto, então não posso falar muito.

No mais, é tomar cuidado com senhas, verificar se o servidor sempre está com versões atualizadas que não deixam brechas para invasões e etc.

No meu ponto de vista, é isso.

[]'s ;)

[

[ GuTo ]· 7 de nov.

Pois é, digamos que seja mais familiarizado com ASP, mas perto dos códigos que vejo todos os dias, me considero avanaçado no PHP5 OO.

Vim aqui mais para ver se o pessoal sabia de algum problema mesmo na linguagem, que aprendi apenas lendo as especificações/documentações do www.php.net.

Mas sabe porquê?

Pq o site de um cliente meu, que está hospedado na dialhost.com.br, foi hackeado.

Desconfio que invadiram o server, pois colocaram vírus e mudaram os links da home para o tal vírus.

Até mesmo pq o site fiz todo em camadas, tudo bonitinho, separado, segurança bem feitinha... é complicado! :S

Mas valeu.

Se alguém tiver algo mais a acrescentar, agradeço...

Abs. ;)