Publicado em 17 de jan.

Segurança em scripts php

Olá

Gostaria de saber, se existe uma forma concreta de, permitir que apenas usuários que estão de fato em meu site, possam acessar o painel de controle. Eu digo isso pois, é possível criar um script php usando cURL, que acesse o meu site, faça login, e acesse da mesma forma esta área restrita.

Existe uma solução para isto?

Lembrando que:

Uma simples sessão não resolveria este problema, visto que, com cURL, é possível receber esta sessão normalmente, como se fosse um usuário.

Usar um token randomico na página de login também não resolveria, pois basta o script cURL e um pouco de expressão regular para ler qual é o token e utilizá-lo para acessar.

Checar referrer é algo fora de cogitação, pois como sabem, é muito simples manipular.

Ps: utilizo mod_security habiltitado em meu servidor, tem alguma regra que possa ser aplicada nele para resolver isso?

Discussão (4)

Entre ou cadastre-se para participar da discussão

Entrar Criar conta

Matheus Tavares· 17 de jan.

Que eu saiba, não tem não.... tendo em vista que o cURL não deixa de ser um navegador, extremamente poderoso, inclusive.

Mas qual o objetivo desse bloqueio? Talvez possamos resolver de outras maneiras...

micox· 17 de jan.

Você já viu aquelas imagens que temos que digitar ao cadatrar um novo email? Aquilo se chama captcha. Googleie sobre isso e seja feliz.

Tem até esquemas gratuitos como o reCaptcha que vão facilitar seu serviço.

Exemplo: https://www.google.com/webmasters/tools/submit-url?pli=1

Lucas Peperaio· 17 de jan.

Olá, obrigado pelas respostas. Eu já havia pensado no captcha, seria a solução, mas infelizmente, eu pretendia usar esta solução em alguns outros projetos, entre eles o http://www.antiprotecao.com.br (alguns usuários estão usando o meu script externamente). Já pensou a cada link inserido ele ter que digitar um captcha, nem que for somente uma vez?

O objetivo real deste bloqueio, é que sites similares ao meu estão usando o meu script PHP de fora do meu site, com cURL. :(

É tenso a situação, mas acredito que o que sair aqui deste tópico será para o bem de muitos programadores WEB.

Matheus Tavares· 17 de jan.

Amigo, você pode:

1 - Fazer e/ou combinar as alternativas citadas por você mesmo no post #1.

2 - Fazer captcha.

3 - Limitar a quantidade de consultas por IP/HOST em determinado tempo (o twitter faz isso para consultas não autenticadas.. se não me engano são permitidas 100 consultas por hora)

...

A mais segura é captcha, mas vai depender de como será sua implementação. Até imagens podem ser lidas pelos bots. Por isso as imagens geralmente são ilegíveis até para humanos, kkkkk...

[]'s!