Segurança de sistema de notícias

Gabriel Sampaio · Setembro 16, 2015

Estou fazendo um sistema de notícias mas estou em duvido sobre a maneira de fazer a segurança e gostaria da opinião de vocês.

Estou fazendo o sistema em PHP PDO e usando algumas funções para filtrar comando sql

Função de filtragem:

preg_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|\*|--|\\\\)/"),"",$texto);

Código de inserção:

$not = 'INSERT INTO noticia (titulo,texto,criador, data) ';
    $not.= 'VALUES (:titulo,:texto,:criador, :data)';
    try{
       $not = $conecta->prepare($not);
       $not->bindValue(':titulo',$titulo,PDO::PARAM_STR);
       $not->bindValue(':texto',$texto,PDO::PARAM_STR);
       $not->bindValue(':criador',$matricula,PDO::PARAM_STR);
       $not->bindValue(':data',$data,PDO::PARAM_STR);       
       $not->execute();              
    }

O que vocês acham melhor fazer para esse sistema?

Beraldo · Setembro 16, 2015

Largue esse preg_replace e use Prepared Statements

Vai ficar seguro e sem precisar remover palavras que o usuário digitar

Gabriel Sampaio · Setembro 17, 2015

E como eu posso proteger para XSS? tem algo que bloqueie?

rockrgo · Setembro 17, 2015

Os Statements possuem filtros, da uma olhada nos links abaixo.

http://php.net/manual/pt_BR/pdostatement.bindvalue.php

http://php.net/manual/pt_BR/pdo.constants.php

Gabriel Sampaio · Setembro 17, 2015

Os Statements possuem filtros, da uma olhada nos links abaixo.

http://php.net/manual/pt_BR/pdostatement.bindvalue.php

http://php.net/manual/pt_BR/pdo.constants.php

Mas nenhum que proteja de XSS, acho que o bindvalue só irá ajudar no sqlinjection

https://www.owasp.org/index.php/XSS_Filter_Evasion_Cheat_Sheet#Tests

rockrgo · Setembro 17, 2015

filter_var($input, FILTER_SANITIZE_STRING);

Beraldo · Setembro 17, 2015

E como eu posso proteger para XSS? tem algo que bloqueie?

htmlspecialchars()

Maykel-ctba · Setembro 17, 2015

Desculpem a ignorância, mas do que se trata "XSS"?

rockrgo · Setembro 17, 2015

Desculpem a ignorância, mas do que se trata "XSS"?

https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

Um tipo de ataque utilizando scripts

Maykel-ctba · Setembro 17, 2015

Obrigado, @rockrgo ;-)

Arquivado

Segurança de sistema de notícias

Recommended Posts

Gabriel Sampaio 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

Beraldo 864

Compartilhar este post

Link para o post

Compartilhar em outros sites

Gabriel Sampaio 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

rockrgo 138

Compartilhar este post

Link para o post

Compartilhar em outros sites

Gabriel Sampaio 0

Compartilhar este post

Link para o post

Compartilhar em outros sites

rockrgo 138

Compartilhar este post

Link para o post

Compartilhar em outros sites

Beraldo 864

Compartilhar este post

Link para o post

Compartilhar em outros sites

Maykel-ctba 233

Compartilhar este post

Link para o post

Compartilhar em outros sites

rockrgo 138

Compartilhar este post

Link para o post

Compartilhar em outros sites

Maykel-ctba 233

Compartilhar este post

Link para o post

Compartilhar em outros sites

comando like (Mysql) no php

mostrar quanto tempo foi postado um conteudo

lendo RSS com PHP mostrando a imagem de preview

Fóruns

Tempo Real

Informação importante