Tentaram Invadir Meu Site

[MarcP 0]

Pessoal,

 

Tentaram roubar alguma coisa do meu site. Nao tenho grandes coisas a serem perdidas mas esse tipo de coisa acaba incomodando.

 

A tentativa foi pelo Guestbook, vejam como ficou

 

Guestbook

 

Hoje uso uma funcao (peguei aki no forum) que protege contra SQL Injection.

 

Tem mais alguma outra protecao que tenho que fazer ???

 

 

 

function anti_injection($sql){		  $sql = preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"),"",$sql);		  $sql = trim($sql);//limpa espaços vazio		  $sql = strip_tags($sql);//tira tags html e php		  $sql = addslashes($sql);//Adiciona barras invertidas a uma string		  return $sql;}

[Marcio Leandro 0]

procure identificar situações que causem erro nos scripts, tipo a chamada a uma variavel de post q naum existe caso a pagina seja chamada diretamente pela URL. Quando criar arquivos de conexão a banco, usar funções, para q o simples fato de incluir o arquivo não cause a conexão com o banco de dados.

Validação, valide tudo. Todos os dados vindos de form devem ser validados.

Cuidado com campos q enviam arquivos, tipo foto.

Se você naum validadar o tipo do arquivo, alguém pode mandar um arquivo php que, por exemplo, vai ler e apresentar os diretórios e arqruivos do seu site. Pode até ler o conteúdo dos arquivos, já q arquivos php são arquivos de texto.

 

Ah, naum chama esses palhaços que fazem isso de Hacker. Naum tem nada a ver, Hacker é uma coisa bem diferente disso.

 

 

Acho q isso é o mínimo que se pode fazer.

http://forum.imasters.com.br/public/style_emoticons/default/joia.gif

[MarcP 0]

Vou procurar fazer as dicas que você mandou...

 

O que eu acho f*** eh que minha pagina nao tem nada de tao interessante para alguem perder tempo e tentar invadir.

 

Sei la, eu tenho coisas muito mais importantes (tomar cerveja vendo a mulherada) do que ficar na frente do computador invadindo paginas sem conteudo justificavel...

 

 

Marcio.sfs, valeu pelas dicas e tomara que encontre emprego hehehe

 

http://forum.imasters.com.br/public/style_emoticons/default/thumbsup.gif

[M2AG 1]

Desculpe está revivendo esse tópico antigo, mas estou com o mesmo problema em meu livro de visitas e não sei como agir.

Já tentei seguir essas instruções , mas como não tenho experiência em PHP, elas não estou funcionando. Achei vários tópicos na busca, mas nada específico de como usá-lo no livro de visitas.

 

Então alguém poderia me informar como utilizar esse código para que não se use scripts em meu TextArea do meu formulário?

 

agradeço desde já a paciência e atenção.

[Skyo 1]

Suponhamos que seu textarea seja denominado por "conteudo", você chama a função colocada pelo Fabyo da seguinte forma no seu script:

<?php
$conteudo = anti_injection($_POST['conteudo']);
// restante do código...
?>

Obs: e claro, de um include nesse arquivo da função ou ponha ela no script...

[M2AG 1]

Skyo,

muito obrigado pela resposta, vou tentar mais uma vez, porém não está dando certo, se uso <script> na textarea, passa normalmente.

[Alaerte Gabriel 662]

Amigo, você também pode usar esse código, e também pode gravar em um arquivo TXT o valor das variáveis que contem o IP... ai depende de você:

 

$protecao_post = getenv('REMOTE_ADDR');
  $badwords = array(";","'","\"","*","union","del","DEL","insert","truncate","update","drop","sele","memb","set","$","wareh","%","--","+");
  foreach($_POST as $value)
  foreach($badwords as $word)
  if(substr_count($value, $word) > 0)
  die ("ERRO - SLQ INJECTION DETECTADO");

coloca isso no início do documento... e coloque também um com o metodo GET:

$protecao_get = getenv('REMOTE_ADDR');
  $badwords = array(";","'","\"","*","union","del","DEL","insert","truncate","update","drop","sele","memb","set","$","wareh","%","--","+");
  foreach($_POST as $value)
  foreach($badwords as $word)
  if(substr_count($value, $word) > 0)
  die ("ERRO - SLQ INJECTION DETECTADO");

Abraço.

[M2AG 1]

The Cod,

 

seu código funcionou perfeitamente, muito, muito obrigado. Obrigado também Skyo pela ajuda

 

[ ]'s