Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

LukkasG

Segurança no PHP

Por , em PHP

Recommended Posts

LukkasG    0

LukkasG
Postado

Ola Amigos, boa tarde!

 

estou desenvolvendo uma Loja Online, e estou com um grande problema,

 

estou desenvolvendo o site totalmente em Requisiçoes ajax-jquery

 

eu nao tenho codigos em minhas telas somente codigos javascript.

 

mas eu nao quero deixar meu codigo aberto, pois para a pessoa descobrir as minhas paginas de codigos basta ele abrir o codigo fonte abrir meu js e pegar o link das minhas paginas de codigo e posts e simular o cURL para invadir meu sistema, eu gostaria de saber se ha como bloquear requisiçoes cURL

 

eu sei que com o POST JQuery nao e possivel requisitar paginas externas ao proprio projeto entao nao ha como alguem invadir meu sistema pelo post JQUERY mas com o cURL e possivel, alguem sabe alguma soluçao??

 

ou escrever um site totalmente em post jquery nao e viavel.???

 

estava pensando em mudar de linguagem e ir para ASP.net em vista que e mais seguro. e que estou no desenvolvimento do meu projeto.

 

Por favor me ajudem.

Compartilhar este post

Link para o post
Compartilhar em outros sites

Marcos Xavier    189

Marcos Xavier
Postado

Nunca deve validar os dados somente no lado cliente. Valide com o PHP também. Do modo que você está desenvolvendo nem mesmo mudando para ASP (que não acho mais segura, isso depende do desenvolvedor)irá adiantar.

Compartilhar este post

Link para o post
Compartilhar em outros sites

LukkasG    0

LukkasG
Postado

as verificaçoes que eu faço do lado do cliente e de campos vazios, agora de validaçao de cpf ou coisas do tipo faço via codigo. mas a minha preocupaçao e as pessoas acessarem meus codigos de outros servidores,

ou existe alguma validaçao que eu possa bloquear esse tipo de chamada??.

 

Obrigado.

Compartilhar este post

Link para o post
Compartilhar em outros sites

LukkasG    0

LukkasG
Postado

estava pensando em usar um token.. no seguinte formato.

 

na pagina que irei chamar.

<?php

$token = md5(uniqid(rand(), TRUE));
$_SESSION['token'] = $token;


?>

Na pagina que eu chamo eu verifico o Token para ver se e meu servidor que esta chamando a pagina

<?php 
if ($_POST['token'] == $_SESSION['token']){
    /* Valid Token */
}

?>

Voces acham que resolveria boa parte do problema?

Compartilhar este post

Link para o post
Compartilhar em outros sites

Williams Duarte    431

Williams Duarte
Postado

Além do token eu uso HTTP_X_REQUESTED_WITH, para certificar se é via ajax a requisição.

 

//verificar se o pedido e via ajax, exit se não for
if(!isset($_SERVER['HTTP_X_REQUESTED_WITH']) AND strtolower($_SERVER['HTTP_X_REQUESTED_WITH']) != 'xmlhttprequest') {
   die();
}

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos PHP
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito