Ir para conteúdo

henrique-rafael

Members
  • Total de itens

    26
  • Registro em

  • Última visita

Reputação

0 Comum

Sobre henrique-rafael

  1. henrique-rafael

    proteger função de chamada externa

    Eu penso que seja exatamente assim Gabriel, mas não achei a documentação aonde diz que é exatamente assim que ela se comporta, e por isso fiquei na dúvida. Até aonde eu entendo (sou principiante), um atacante consegue se infiltrar principalmente por falhas no recebimento de informação externa (quando o programador não higieniza/valida no lado do servidor get, post, quando estes vão para o banco de dados, ou aparecem como "echo get ou post" na página, em geral quando não higieniza adequadamente as informações que chegam externamente ao servidor) imagino que: function minha_funcao_recebe_GET_da_url_por_exemplo($recebe_um_perigo_indireto_pois_atacante_injeta_na_url_algo_que_vai_para_dentro_da_funcao){ # cuidado com a lógica } porém: function minha_funcao_dentro_da_pagina_invoca_na_logica_interna_sem_interacao(){ # uma atacante não pode fazer nada aqui, se eu não pegar informações externas como por exemplo um $_GET }
  2. henrique-rafael

    proteger função de chamada externa

    Uma função que eu criei pode ser acessada diretamente e externamente? Se sim, como faço para impedir isso. por exemplo: tenho uma função, aonde eu uso o mysqli e trato as variáveis adequadamente, de forma segura. function insere_dados_no_mysql($recebe_dados_para_inserção){ # a função não pode ser chamada diretamente, apenas a página aonde ela está pode ser invocada } Minha preocupação é a seguinte: -Se alguém for capaz de invocar essa função diretamente por chamada externa como por exemplo "javascript ajax", essa pessoa pode simplesmente inserir dados na minha base de dados, sem estar autenticado. -Eu procurei sobre o assunto em sites de busca, mas não encontrei nada específico sobre isso, por isso gostaria de uma ajuda aqui do fórum, se alguém puder me dizer se essa chamada é possível, ou se o PHP nativamente impede esse tipo de chamada em função da segurança, etc.
  3. henrique-rafael

    wp_nav_menu - output seguro

    Sou novo no wordpress e fiz uma busca mas não encontrei nenhum tópico a respeito, então gostaria da ajuda de vocês. Minha preocupação é a segurança na saída da informação, afinal o wp_nav_menu precisa ser sanitizado ou ele já vêm de fabrica todo vacinado contra vulnerabilidades? Não sei bem o funcionamento dele, e então fiquei na dúvida se nessa função o pessoal do wordpress já faz internamente uma saída segura, ou se é preciso escapar os valores. por exemplo: echo "meu menu seguro - ".wp_nav_menu;
  4. henrique-rafael

    infográfico próprio

    Olá, Não tenho certeza se esse é o local correto para esta pergunta, mas como não sei por onde começar então aqui vai... Quero fazer um sistema de infográfico online, mas ao procurar na internet não consegui localizar nada a respeito sobre como criar o infográfico (achei.... pilhas de sites que oferecem ferramentas, mas nenhum sobre como montar um "para estudos a principio"). Alguém já estudou a respeito de como criar infográficos, e sabe pelo menos me dizer quais as ferramentas mais apropriadas para se criar um de forma online? basicamente o meu objetivo é criar uma imagem e ao passar o mouse essa imagem possa sofrer algum efeito em algumas partes da imagem, a imagem também pode ser um agrupamento de imagens ou não, como por exemplo "quando colocamos várias imagens juntas lá no world, como uma na frente, outra atrás, abaixo etc..." Isso é praticavel em php? html? etc...
  5. henrique-rafael

    cookie eterno css

    Olá galera, Estou com uma dúvida de iniciante, parece simples mas não consegui localizar o comando pra isso. Eu coloquei um estilo de css em um site (não configurei nada de cookie, mas o servidor e browser tem lá suas próprias configurações). Problema é que agora eu atualizei o meu arquivo CSS mas o site continua abrindo com o CSS no estilo antigo. Existe alguma forma de eu forçar o lado do cliente a resetar os dados do arquivo CSS??? Sei que no browser o usuário poderia remover, porém é muito desconfortável para o usuário ter de fazer esse trabalho. Gostaria de forçar a atualização no lado do usuário, sem a intervenção do usuário.
  6. henrique-rafael

    criar um site estilo jornal - texto grande

    Então.. eu vi alguma coisa no próprio site do mysql sobre "evitar" guardar imagens no banco, pois tem uma série de processos internos + requisições que fazem perder a performance (na internet existem muitas recomendações de evitar imagens no banco). Pelo que percebi o melhor mesmo é criar uma pasta específica e guardar lá as imagens, em uma hierarquia de pastas conveniente, porém sem afundar muito os arquivos subpastas\subpastas\subpastas....
  7. henrique-rafael

    criar um site estilo jornal - texto grande

    Obrigado pela resposta. Dei uma pesquisada no que você sugeriu, pelo que vi o text (texto fisico) não é vinculado com a coluna, acredito que isso de uma boa performance quando o banco de dados começar a crescer, já que o text não participa de todo o grupo da mesma forma que um int, varchar, char, etc..
  8. henrique-rafael

    criar um site estilo jornal - texto grande

    Olá, Estou pensando em criar um site no estilo de um jornal/blog (um título, umas imagens e muito texto), mas têm um pequeno grande problema na arquitetura do projeto. Não tenho experiência em questão de bom desempenho na hora de armazenar grandes textos. O que seria mais indicado para armazenar os textos de uma matéria? (levando em conta que poderia usar uma ou duas páginas de texto, aproximadamente do tamanho da fonte utilizada aqui no iMasters) Vi pessoas falando sobre usar arquivo xml, ou mysql com blob ou text, etc... Alguém aqui do fórum já teve esse tipo de experiência, e poderia compartilhar e dizer qual seria o mais ideal para evitar arrependimentos futuros?
  9. henrique-rafael

    Qual a melhor forma de criar site de jornal

    Olá galera, Estou com uma dúvida para criar um site de notícias (estilo jornal que recebemos em nossa casa através do jornaleiro). Pensei em 2 formas, e todas elas têm os prós e contras, daí queria saber de vocês o qual poderia ser o melhor. 1) Criar página estatica em html mesmo. PRÓ: com certeza seria mais rápido o carregamento. CONTRA: manutenção impossível praticamente. 2) Criar página dinâmica em PHP. PRÓ: posso usar o blob do mysql para armazenar o conteúdo da matéria (manutenção excelente, pois o conteúdo está no mysql). CONTRA: em toda a página terá acesso ao banco de dados para puxar a notícia e talvez fique um pouco mais lento, por causa da conexão com o BD. Eu tentei procurar a respeito do joomla e wordpress(NÃO para usá-los), mas para entender como eles agem, mas não consegui achar pistas disso. Vocês saberiam me indicar qual o melhor meio, ou se existe alguma outra forma que eu não tenha visto para a criação desse tipo de site??
  10. henrique-rafael

    criar sessão somente se tiver pelo menos um produto escolhido

    você sugere que a melhor idéia é simplesmente dar um session_start nas páginas idependente de o usuário ter enviado um $_POST de inclusão do primeiro produto, ou ainda não ter e talvez nem escolher um produto? Nas minhas pesquisas parece que tudo leva a essa lógica de startar a sessão mesmo que o usuário não solicite a inclusão de um primeiro produto (0 zero produtos). Não quero ficar poluindo o meu servidor com arquivos de sessions desnecessárias, mas pelo visto a lógica na qual estou pensando é impraticavel.
  11. henrique-rafael

    criar sessão somente se tiver pelo menos um produto escolhido

    Olá galera, É possível criar alguma função que passe a inicializar a session_start somente após a inclusão do primeiro produto no carrinho de compras? por exemplo: No meu site eu tenho um carrinho de compras, mas não quero em toda a página ficar inicializando uma session_start sem necessidade, ou seja, gostaria de inicializar a session_start somente após o usuário solicitar a inclusão do primeiro produto, caso contrário ele ficará navegando no site sem a session se inicializar. Isso é possível? Isso é uma boa pratica, ou pode me tirar o sono futuramente?
  12. henrique-rafael

    autenticação segura e continua de usuário registrado

    Willian, eu tenho uns 10 anos de programador e já me aventurei com blitz3d, unity(js, c#), arduino c++, java, shaders, etc.. sei o que você quer dizer (agente se esforça tanto e daí vem um mané querendo tudo pronto, e as vezes ficamos putos com isso). Mas não me entenda mal, o que eu quero são apenas temas para eu estudar (pois sou iniciante em PHP): -Imagine que eu quisesse sabe por exemplo: -Qual os prós e contras de uma variavel $_GET? (você poderia simplemente me responder assim..) "pró: pode ser salva como link pelo usuário, contra: xss, sql injection, etc." e pronto!! A partir daí eu já saberia o que procurar para me defender, e nesse caminho outras falhas iriam se mostrar pra mim conforme eu fosse pesquisando. Com relação ao tópico, direta ou indiretamente vocês já conseguiram me esclarecer algumas coisas. Dentre elas a de que eu não terei muito escapatória de alguns elementos tradicionais do login (como os que você citaram acima). A minha esperança era que me mostrassem alguma outra coisa que não tivesse me ocorrido, por exemplo algo em conjunto com a sessão para reforçar, ou então um "cuidado o hacker pode alterar isso, ou aquilo". Obrigado por responderem, isso ajudou de alguma forma.
  13. henrique-rafael

    autenticação segura e continua de usuário registrado

    -ESerra, você disse tudo com relação as perguntas certas, pois o fato é que "eu não tenho conhecimento suficiente para perguntar de forma correta o que eu procuro", e é um dos motivos pelo qual estou recorrendo ao forum. -Basicamente o que eu encontrei nas minhas pesquisas foi que sessões e cookies podem ser roubados e/ou adulterados. (tudo bem, mas se isso for verdade, como eu me preparo para isso?) -com relação ao token, ele precisar chegar ao computador do cliente em algum momento certo!? (se assim for então alguém pode de alguma forma pegar o token, ou não?). -Se puder, gostaria que você desse uma luz no meu caminho, por exemplo, dizendo de forma resumida prós e contras, que você conhece e aconselha. exemplo: "criar: Guarde um token na sessão", "pró: fácil de implementar", "contra: hacker pode roubar a sessão assim assado etc". -Não quero nada pronto, não é isso não como o Willian Duarte está achando. O que eu quero basicamente são como você disse "as perguntas certas", ou seja, quero alguns temas de técnicas com prós e contras resumidos, para que eu possa então fazer uma busca a respeito na internet.
  14. henrique-rafael

    autenticação segura e continua de usuário registrado

    Williams Duarte, com todo respeito, é justamente para não ter que ler coisas do tipo "se vira, procura", é que eu uso o forum como último recurso (apenas quando não encontro mesmo ^^), o forum é pra compartilhar conhecimento, quando eu possuo algum eu compartilho, ou pelo menos dou uma direção. Com relação a minha questão, é que: -O google está cheio de técnicas sobre "como cadastrar de forma segura PHP+Mysql", mas não é isso que eu quero saber. -Eu já pesquisei sobre as sessões e cookies, porém muita gente diz que é bom, e outros dizem que não, Bem… isso deixa agente meio que perdido quando se é inexperiente em PHP. -O problema principal é que não sei "o quanto posso confiar em uma Sessão ou Cookie", por isso é que pedi os prós e contras (e outras técnicas que possam elucidar um pouco o meu caminho para que a partir daí eu possa pesquisar técnicas a respeito sem precisar recorrer ao forum). -Token eu também já vi, mas dizem que é fácil pra roubar.. e ai fudeu, fiquei sem ideias de como implementar algum sistema em que o usuário faça o login e eu possa de forma segura saber que é ele mesmo navengando em outras páginas do meu site.
  15. henrique-rafael

    autenticação segura e continua de usuário registrado

    Olá pessoal, Sou relativamente inexperiente em php e preciso de uma dica de como fazer uma "PÓS-AUTENTICAÇÃO" segura. é o seguinte, o usuário acessa o meu site e ao digitar o usuário e senha eu faço a conferência para saber se é uma autenticação legítima (até aqui tudo bem), eu comparo os dados no mysql e assim sei se é ou não legitimo. Porém não tenho idéia de como fazer de forma segura a autenticação constante desse usuário, ou seja, depois que ele fez a autenticação no site, como eu faço para em CADA PÁGINA que ele acessar, eu verificar se o usuário é legitimo (sem ele precisar ficar redigitando o usuário e senha). Se possível peço que vocês me dêem sugestão, mas logo em seguida apontem quais as possiveis falhas nas sugestões que vocês irão dar.
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.