[Resolvido] Sobre url (query string).

Pode ser processada tanto por explode quanto por url Rewrite (pouco provável).

Evandro beleza? Eu havia pensando nessa possibilidade com o explode /applications/core/interface/imageproxy/imageproxy.php?img=http://forum.imasters.com.br/public/style_emoticons/default/smile.gif&key=15294d64c22e9e9c4ae0bf82a62ec27d13f27d6ba7078a5f7982077798029364" alt="Imagem Postada" /> Essa implementação na url separada por vírgula seria indicada? Segura?

Defina a sua preocupação com segurança e eu te respondo se serve, se existem melhores alternativas (desde que eu conheça) ou se não serve. /applications/core/interface/imageproxy/imageproxy.php?img=http://forum.imasters.com.br/public/style_emoticons/default/wink.gif&key=0566fd943552bcff9cb1b879403ca34b5ff8f67befaac7fe4648006e9f764689" alt="Imagem Postada" />

Defina a sua preocupação com segurança e eu te respondo se serve, se existem melhores alternativas (desde que eu conheça) ou se não serve. /applications/core/interface/imageproxy/imageproxy.php?img=http://forum.imasters.com.br/public/style_emoticons/default/wink.gif&key=0566fd943552bcff9cb1b879403ca34b5ff8f67befaac7fe4648006e9f764689" alt="Imagem Postada" />

Sobre a segurança eu quis dizer no sentido ser uma técnica interessante para grandes projetos, se é bem vista, se possui algum ponto crítico de vulnerabilidade que torna seu uso muito perigoso. Em questão de vulnerabilidade, posso validar os pontos chave da url e não permitir injeção de código malicioso.Gostaria de saber sua opinião /applications/core/interface/imageproxy/imageproxy.php?img=http://forum.imasters.com.br/public/style_emoticons/default/happy.gif&key=d39e68bd94edabd9069b8f4a6d941163110d4d36d12e6324ad75ec83de4843df" alt="Imagem Postada" /> Obrigado pelo apoio!

Qualquer dado que fique disponível para o usuário pode ser considerado de risco e deve ser tratado, escapado, previsto ao máximo possível.

O sistema é feito para funcionar à base de session=servicos,revenda,win; mas qualquer um pode chegar lá e digitar por exemplo session=restrito,usuarios,mac. Fica totalmente a cargo do programador verificar as soluções de segurança e se a implementação é viável.

Devem ser levados em conta, entre muitos fatores, principalmente a facilidade de manutenção, segurança e performance quando tratamos de projetos de grande porte.

Facilidade de manutenção não está relacionada apenas à uma codificação bem documentada, espaçada de fácil leitura; as práticas de KISS devem ser uma filosofia para o programador.

Resumindo, o modo como os dados são apresentados ao usuário chega a ser um pormenor perto das reais preocupações que você deve ter. Enviar os dados através de uma única variável GET espaçada por vírgula é tão seguro quanto proteger os dados através de campos <input type="hidden"> enviados através de um formulário POST ou requisições AJAX, ou seja, NADA.

Preveja ataques, teste exaustivamente, faça testes de benchmark, nunca pare de estudar, refatorar, aprimorar e atualizar códigos.

Quando eu fiz esse portal, em 2008, devido a uma condição específica do servidor, não pude utilizar mod_rewrite; A separação por vírgulas foi uma solução "quebra-galho" para uma condição específica.

>
Pode ser processada tanto por explode quanto por url Rewrite (pouco provável).

Nesse caso específico, foi utilizado explode.

>
Sobre a segurança eu quis dizer no sentido ser uma técnica interessante para grandes projetos, se é bem vista, se possui algum ponto crítico de vulnerabilidade que torna seu uso muito perigoso.

Em questão de vulnerabilidade, posso validar os pontos chave da url e não permitir injeção de código malicioso.

Utilizar as URLs dessa forma tem, como inconveniente, NULL Byte Injection que precisa ser tratado.

Ao final desse projeto, passamos vários dias utilizando ferramentas para simulação de ataques, fazendo mais de 10.000 tentativas de invasão por dia.

O site é capaz de identificar uma tentativa de ataque e, caso ela persista, algumas pessoas são notificadas então, segurança está relacionada não apenas com a forma que você monta uma URL e sim com o conjunto de software por traz disso.

Atualmente, a própria empresa gerencia o site e acabei de perceber que muitas das verificações de segurança foram removidas (talvez por descuido ou desatenção), mas enfim, não é a forma que você estrutura suas URLs que fará seu site mais ou menos seguro.

João obrigado pela excelente explicação! /applications/core/interface/imageproxy/imageproxy.php?img=http://forum.imasters.com.br/public/style_emoticons/default/smile.gif&key=15294d64c22e9e9c4ae0bf82a62ec27d13f27d6ba7078a5f7982077798029364" alt="Imagem Postada" />

>
Quando eu fiz esse portal, em 2008, devido a uma condição específica do servidor, não pude utilizar mod_rewrite; A separação por vírgulas foi uma solução "quebra-galho" para uma condição específica.

>

Pode ser processada tanto por explode quanto por url Rewrite (pouco provável).

Nesse caso específico, foi utilizado explode.

>
Sobre a segurança eu quis dizer no sentido ser uma técnica interessante para grandes projetos, se é bem vista, se possui algum ponto crítico de vulnerabilidade que torna seu uso muito perigoso.

Em questão de vulnerabilidade, posso validar os pontos chave da url e não permitir injeção de código malicioso.

Utilizar as URLs dessa forma tem, como inconveniente, NULL Byte Injection que precisa ser tratado.

Ao final desse projeto, passamos vários dias utilizando ferramentas para simulação de ataques, fazendo mais de 10.000 tentativas de invasão por dia.

O site é capaz de identificar uma tentativa de ataque e, caso ela persista, algumas pessoas são notificadas então, segurança está relacionada não apenas com a forma que você monta uma URL e sim com o conjunto de software por traz disso.

Atualmente, a própria empresa gerencia o site e acabei de perceber que muitas das verificações de segurança foram removidas (talvez por descuido ou desatenção), mas enfim, não é a forma que você estrutura suas URLs que fará seu site mais ou menos seguro.

João, você é um dos criadores do IMasters?