Script anti inject

[DouglasP 1]

Boa tarde,

consegui descriptografando um arquivo anti inject do meu antigo site que eu comprei,

mais tem algo errado nele e não sei oque é:

 

se vcs pudessem dar uma olhada e me informar:

 

abaixo o code:

 

<?php

$mensagem = "Caracteres como ( % ' - ),\\n2estão bloqueados pelo nosso sistema de segurança,\\n3Evite usa-los.";
$retorna = "http://x.no-ip.org:8090/";
$fp = fopen( "ataques_site.txt", "a+" );
$hora = date( "l dS of F Y h:i:s A" );
$ip = getenv( "REMOTE_ADDR" );
foreach ( $_GET as $a )
{
	if ( eregi( "[^a-zA-Z0-9_+.! @#$?&:*<>(){}|\\/[.[.][.].][.-.][.,.][.=.][.;.]´`~^¨¬!ãâáàäÄÁÀÃÂõôóòöÕÔÓÒÖêéèëÊÈÉËíìîïÍÌÏÎúùûüÚÙÛÜçǪº°\t\"\r\n]", $a ) )
	{
		echo "<script>alert('".$mensagem."'); window.location='".$retorna."';</script>";
		exit( );
		break;
	}
}
foreach ( $_POST as $a )
{
	if ( eregi( "[^a-zA-Z0-9_+.! @#$?&:*<>(){}|\\/[.[.][.].][.-.][.,.][.=.][.;.]´`~^¨¬!ãâáàäÄÁÀÃÂõôóòöÕÔÓÒÖêéèëÊÈÉËíìîïÍÌÏÎúùûüÚÙÛÜçǪº°\t\"\r\n]", $a ) )
	{
		echo "<script>alert('".$mensagem."'); window.location='".$retorna."';</script>";
		exit( );
		break;
	}
}
foreach ( $_COOKIE as $a )
{
	if ( eregi( "[^a-zA-Z0-9_+.! @#$?&:*<>(){}|\\/[.[.][.].][.-.][.,.][.=.][.;.]´`~^¨¬!ãâáàäÄÁÀÃÂõôóòöÕÔÓÒÖêéèëÊÈÉËíìîïÍÌÏÎúùûüÚÙÛÜçǪº°\t\"\r\n]", $a ) )
	{
		echo "<script>alert('".$mensagem."'); window.location='".$retorna."';</script>";
		$a = str_replace( "\\", "", $a );
		fputs( $fp, "Via: COOKIE\r\n" );
		fputs( $fp, "Post: ".$a."\r\n" );
		fputs( $fp, "IP: ".$ip."\r\n" );
		fputs( $fp, "Hora: ".$hora."\r\n" );
		fputs( $fp, "=================================================\r\n" );
		fclose( $fp );
		exit( );
		break;
	}
}
//foreach ( $_SESSION as $a )
{
	if ( eregi( "[^a-zA-Z0-9_+.! @#$?&:*<>(){}|\\/[.[.][.].][.-.][.,.][.=.][.;.]´`~^¨¬!ãâáàäÄÁÀÃÂõôóòöÕÔÓÒÖêéèëÊÈÉËíìîïÍÌÏÎúùûüÚÙÛÜçǪº°\t\"\r\n]", $a ) )
	{
		echo "<script>alert('".$mensagem."'); window.location='".$retorna."';</script>";
		$a = str_replace( "\\", "", $a );
		fputs( $fp, "Via: SESSION\r\n" );
		fputs( $fp, "Post: ".$a."\r\n" );
		fputs( $fp, "IP: ".$ip."\r\n" );
		fputs( $fp, "Hora: ".$hora."\r\n" );
		fputs( $fp, "=================================================\r\n" );
		fclose( $fp );
		exit( );
		break;
	}
}
?>

 

Grato.

[DouglasP 1]

ninguem pode me ajudar com esse script?

[hinom 5]

explique melhor

 

se ninguém sequer respondeu é porque vocâ não soube explicar o que realmente quer

[brunofilhorj 0]

Ou pelo menos poste o erro que está dando.

[DouglasP 1]

isso ai é um sistema anti inject ele simplesmente bloqueia esses simbolos: % ' - por metodos como $_GET,SESSION, etc informa o erro e cria um arquivo .txt informando quem utilizo isso ip hora data etc.

aconteçe que o arquivo criptografado funciona normal,

depois que descriptografei ele deixou de funcionar.

 

agora não sei onde ta o erro.

 

vlws

[DouglasP 1]

alguem teria uma ideia de onde se encontra o erro no script?

[Williams Duarte 431]

:wacko:

[DouglasP 1]

nao me ajudou rs

[hinom 5]

consulte a pessoa ou empresa que desenvolveu.

[DouglasP 1]

a pessoa não me responde mais nada a respeito pois o mesmo não terminou o serviço e me devolveu o dinheiro.

[hinom 5]

se estava criptografado é de propriedade intelectual do autor.

 

apesar disso, o script parece nao fazer nada de mais

[DouglasP 1]

nada d+ ? ^^

bom apenas previni que pessoas invadam meu bando de dados e façam oque quiserem nele.

rs

agora imagina você tem um bd que vale mais de 3 mil reais,

esse arquivo faiz bastante coisa n ?

[hinom 5]

como disse, esse script não faz nada de mais e ainda sim é possível burlar.

 

para protejer-ser contra ataques sql Injection especificamente, basta escapar das aspas simples

 

$valor = str_replace( "'", "\'", $valor );

 

 

a segurança de um aplicativo não depende somente disso

 

há outros fatores diversos.

depende da abrangência do seu campo de visão

[DouglasP 1]

mais quanto a segurança sql inject so meio lerdo,

nao sei como faço o script pra bloquea no caso a aspa simples

via session,$_GET etc :/

por isso precisava arruma esse script ai

pois ele seguro meu site durante 3 anos sem invasão nenhuma.

[hinom 5]

milhares de servidores são invadidos diariamente sem que o administrador perceba. Principalmente quando o administrador é leigo "lerdo".

A maioria das invasões são silenciosas.

As notícias sobre invasões que aparecem em noticiários são casos isolados e geralmente são feitos por amadores ou por algum motivo de força maior para que seja publicado na mídia.

 

se você trabalha com dados sigilosos é importante aprender sobre a área de segurança com mais empenho.

para isso aconselho a estudar servidores, sistemas operacionais, banco de dados, linguagens de programação, engenharia social, redes, etc..

é uma área muto ampla e dependendo caso, muito delicada, portanto, se for contratar alguem pra cuidar disso, deve ser de confiança, ou aprenda por si mesmo.

 

 

no seu caso, um banco de dados de 3 mil reais, podemos dizer que nao vale grande coisa.

Por isso, pode ser que pessoas qualificadas não tenham interesse em invadir e obter esses dados.

Mas é sempre bom estar atento, pois sempre tem alguem com bom conhecimento e má intensão.

[DouglasP 1]

nao me ajudo mto mais vlw rs