Ir para conteúdo

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

AndréJs

Segurança

Recommended Posts

Olá eu comecei a estudar PHP Faz pouco tempo è queria receber dicas de como deixar um site mais seguro com PHP ou até com outra linguagem de programação. 

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Seja bem vindo desde já.

Eu geralmente uso PDO para tratar minhas query, mas mesmo usando

eu gosto de tratar o que é enviado via preg_replace, addslashes e etc.

E vale lembrar que é necessário validar também se os dados enviados

pelo input não é um ataque de xss.

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Segurança em 'sites' é uma coisa muito ampla.

Entra tratamento de querys como o @jamesbond falou para prevenção de SQL-Injection

 

 

XKCD - Exploits of a Mom (The Bobby Tables Comic)

 

Entrada de arquivos (já imaginou o cara envia um .php em um form/file onde deveria receber apenas um .png?)

 

A regra de ouro é pensar que o usuário sempre pode ser maldoso, e nunca confiar no mesmo.

 

O php já tem diversas funções para sanitização de Strings/Int/float/date:

Da uma olhada nos FILTER_*, pouca gente conhece elas.

http://php.net/manual/en/filter.filters.sanitize.php

 

 

Você pode fazer a 'engenharia reversa' tmb, pesquisar 'maneiras de atacar um site php' e tentar entender como funciona cada uma das técnicas fazendo a prevenção da mesma.(buscar em ingles nesse momento a % de resultados relevantes aumentam drasticamente hehe)

 

 

O Heming fez um post/aula excelente sobre segurança em cima de md5 :
https://forum.imasters.com.br/profile/159859-gabriel-heming/

 

Pensar em cenários de falha, se o banco cair/ocorrer um erro de syntax por exemplo vai exibir alguma informação sensível ou vai simplesmente exibir uma tela padrão HTTP/500?

 

Lembrando que 'segurança'  também é muito influenciada pelo servidor, de nada adianta sua aplicação(php) estar 100% blindada e o banco com senha de admin/admin, ou o ssh com senha 123, exemplos bestas mas que acredite... 
 

Vale o click:

https://secure.php.net/manual/pt_BR/security.php

Compartilhar este post


Link para o post
Compartilhar em outros sites

Sobre SQL injection, o site mais completo que eu conheço é o https://phpdelusions.net/

 

Sobre criptografia,  leia os artigos de Scott Arciszewski e os que ele linkar. Ele tem muito material e adiciona várias ótimas referências.

 

Pesquise, também, sobre:

  • Cross-site request forgery (CSRF);
  • Cross-site scripting (XSS);
  • Error messages;
  • File upload e include/require breach (vulnerabilidades);
  • Session storage (local e criptografia);
  • Database (separado do servidor PHP).

Não pense na segurança como uma solução definitiva. Pense como camadas adicionadas ao seu sistema que aumentarão a segurança. Entretanto, a segurança vem de encontro a performance. Ou seja, quanto mais segurança, menos performance seu sistema possuirá.

Compartilhar este post


Link para o post
Compartilhar em outros sites

quanto a envio de arquivos acredito eu que uma forma de saber se é imagem mesmo é testando se width+height>0. eu falo isso porque em testes já me aconteceu do php confundir o tipo de arquivo dependendo a extensão que ele tiver tipo se eu pegasse um php e botasse uma extensão .jpg o php validava como imagem jpg invés de php mesmo usando todas as formas de verificação de arquivo que eu conhecia mas passando altura e largura de imagem já vai dar zero se não for imagem.

Compartilhar este post


Link para o post
Compartilhar em outros sites
4 horas atrás, marsolim disse:

quanto a envio de arquivos acredito eu que uma forma de saber se é imagem mesmo é testando se width+height>0. eu falo isso porque em testes já me aconteceu do php confundir o tipo de arquivo dependendo a extensão que ele tiver tipo se eu pegasse um php e botasse uma extensão .jpg o php validava como imagem jpg invés de php mesmo usando todas as formas de verificação de arquivo que eu conhecia mas passando altura e largura de imagem já vai dar zero se não for imagem.

Isso depende muito da forma em que você irá validar o arquivo enviado.

Se você por apenas um strpos checando se existe png no arquivo de fato será simples burlar o seu sistema...

Compartilhar este post


Link para o post
Compartilhar em outros sites

stropos pra validar tipo de arquivo? nunca fiz verificando string não huahuahuahua eu falo das validações de tipo de arquivo mesmo tipo $_FILES['nome_arquivo']['type']mime_content_type e tals que retornam o tipo tal e qual como image/gifimage/pngtext/plain e tals. já aconteceu disso me falhar não sei se por problemas no server ou o que. aí usei getimagesize() pra somar width+height. claro que pode ter imagem de zero pixels mas não imagino um uso pra elas e portanto se der zero não sobe de qualquer forma huehuehuehue

Compartilhar este post


Link para o post
Compartilhar em outros sites

  • Conteúdo Similar

    • Por ILR master
      Fala galera, tudo bem?
       
      Tenho o seguinte codigo:
       
       class Data {
      public static function ExibirTempoDecorrido($date)
      {
          if(empty($date))
          {
              return "Informe a data";
          }
          $periodos = array("segundo", "minuto", "hora", "dia", "semana", "mês", "ano", "década");
          $duracao = array("60","60","24","7","4.35","12","10");
          $agora = time();
          $unix_data = strtotime($date);
          // check validity of date
          if(empty($unix_data))
          {  
              return "Bad date";
          }
          // is it future date or past date
          if($agora > $unix_data) 
          {  
              $diferenca     = $agora - $unix_data;
              $tempo         = "atrás";
          } 
          else 
          {
              $diferenca     = $unix_data - $agora;
              $tempo         = "agora";
          }
          for($j = 0; $diferenca >= $duracao[$j] && $j < count($duracao)-1; $j++) 
          {
              $diferenca /= $duracao[$j];
          }
          $diferenca = round($diferenca);
          if($diferenca != 1) 
          {
              $periodos[$j].= "s";
          }
          return "$diferenca $periodos[$j] {$tempo}";
      }
      }
       
      Funciona redondinho se o valor retornado for de algumas horas, mas...
      Quando passa de dois meses, ele retorna a palavra mess. Deve ser por conta dessa linha
      if($diferenca != 1) 
          {
              $periodos[$j].= "s";
          }
       
      Quero que modre:
       
      2 meses atrás
      e não
      2 mess atrás.
       
      Espero que tenham entendido.
       
      Valeu
    • Por Carlos Web Soluções Web
      Olá...
      Estou tentando fazer o seguinte !!
      Listando dados em tabela !!
      Gostaria que....se na listagem houver 4 linhas...indepedente de seu número de ID, faça a listagem em ID ser em ordem 1 2 3 4 !!
      Exemplo...se tiver uma listagem de dados que está em ID 1 3 3...faça ficar 1 2 3 !!

       
      echo "<table class='tabela_dados' border='1'> <tr> <td>ID</td> <td>Nome Empresa</td> <td>Responsável</td> <td>Telefone 1</td> <td>Telefone 2</td> <td>E-mail 1</td> <td>E-mail 2</td> <td>Endereço</td> <td>CEP</td> <td>Bairro</td> <td>AÇÃO 1</td> <td>AÇÃO 2</td> </tr> "; $sql = "SELECT ID FROM usuarios_dados WHERE Usuario='$usuario'"; $result = $conn->query($sql); $num_rows = $result->num_rows; $Novo_ID = 1; for ($i = 0; $i < $num_rows; $i++) { $registro = $result -> fetch_row(); $sql2 = "UPDATE usuarios_dados SET ID='$Novo_ID' WHERE ID='$Novo_ID'"; $result2 = $conn->query($sql2); $Novo_ID++; } $sql = "SELECT * FROM usuarios_dados"; $result = $conn->query($sql); if ($result->num_rows > 0) { // output data of each row while($row = $result->fetch_assoc()) { echo "<tr> <td>$row[ID]</td> <td>$row[Nome_Empresa]</td> <td>$row[Responsavel]</td> <td>$row[Telefone_1]</td> <td>$row[Telefone_2]</td> <td>$row[Email_1]</td> <td>$row[Email_2]</td> <td>$row[Endereço]</td> <td>$row[CEP]</td> <td>$row[Bairro]</td> <td> <form method='post' action='Editar_Dados.php'> <input type='hidden' name='usuario' value='$usuario'> <input type='hidden' name='senha' value='$senha'> <input type='hidden' name='ID' value='$row[ID]'> <input type='submit' style='padding: 10px;' value='EDITAR'> </form> </td> <td> <form method='post' action='Deletar_Dados.php'> <input type='hidden' name='usuario' value='$usuario'> <input type='hidden' name='senha' value='$senha'> <input type='hidden' name='ID' value='$row[ID]'> <input type='submit' style='padding: 10px;' value='DELETAR'> </form> </td> </tr> "; } } else { echo "0 results"; } $conn->close();  
    • Por ILR master
      Boa tarde pessoal, tudo bem ?
       
      Eu uso o tinymce para cadastro de textos no meu siite, porém, quero fazer um sistema para que os colunistas possam fazer o próprio post.
      O problema do tinymce, é que ele mantém a formatação do texto copiado, como tamanho de fonts, negritos, etc... Quero que o usuário cole o texto e a própria textarea limpe a formatação para que ele formate como quiser.
       
      A pergunta é:
       
      O tinymce tem uma opção para desabilitar a formatação quando um texto é colocado?
      Tem alguma função via java ou php para retirar a formatação assim que o texto é colado?
      Ou é melhor usar um outro editor?
       
      Agradeço deste já.
    • Por Giovanird
      Olá a todos!
      Tenho uma pagina que possui uma DIV onde coloquei uma pagina PHP.
      Uso a função setInterval para atualizar a pagina inclusa dentro da DIV.
      O problema é que ao acessar o site , a DIV só me mostra a pagina inclusa somente quando completo o primeiro minuto.
      Preciso que a pagina inclusa já inicie carregada
       
      Meu código JavaScript e a DIV com a pagina PHP
       
      <script> function atualiza(){ var url = 'direita.php'; $.get(url, function(dataReturn) { $('#direita').html(dataReturn); }); } setInterval("atualiza()",60000); </script> <div> <span id="direita"></span> </div>  
    • Por ILR master
      Fala pessoal.
       
      Seguinte:
       
      Quero selecionar duas tabelas e mostrar com resultados intercalados. Abaixo segue um código explicando para vcs terem uma ideia.
       
      $consulta = "SELECT A.*, B.* FROM tabela1 A, tabela2 B'";
      $resultado = mysqli_query($conexao, $consulta) or die ("erro");
      while($busca = mysqli_fetch_array($resultado)){
       
      print $busca['cod_evento']; --> traz o código da tabela1 
      print $busca['titulo_evento']; -->  traz o titulo da tabela1
      print $busca['cod_noticia']; --> traz o código da tabela2
      print $busca['titulo_noticia']; --> traz o tituloda tabela2
       
      }
       
      Espero que entendam. Grato
       
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.