» Menu

» Últimos artigos

Visualizando Área de Trabalho Remota Recuperando sistema em mirror LVM 1 LMDE Xfce - Instalação, configuração e extras Linux com Java 1.7 + JBoss 7 VPN PPTP - Instalação entre estações Windows, Dispositivos com Android e CentOS 5.x Server Introdução a CGI com a RFC 3875

» Últimas dicas

ZTE V821: Android Dual Sim Forçando a montagem do sistema de arquivos e do disco rígido para corrigir problemas Criando e instalando DEB do XAMPP Redimensionando imagens com Nautilus-Image-Manipulator Qual distribuição Linux o iniciante deve usar? Considerações de um ex-usuário Windows Ubuntu 12.04 LTS - Instalando o Hamachi Ubuntu 12.04 LTS - Instalando o Remastersys FFmpeg - Como inserir Logo em vídeo

» Segurança Linux

[Dica] Pacote Oficial Linux LPI [Dica] Ghost Phisher - suite para ataques de phishing usando Fake DNS, DHCP e BLA, BLA, BLA...! ! ! [Artigo] samhain - verificador de integridade de filesystem [Notícia] pfSense 2 Cookbook [Dica] T50 Experimental Packet Injector Tool [Artigo] Honeypot: Aprendendo com o intruso [Notícia] Até 50% de desconto para as últimas vagas do treinamento Investigação Forense Digital da 4Linux.

» Últimos scripts

[Shell-Script] traduz_man - traduzir man pages [C/C++] Substituidor de letras [Python] Conexão de Roteadores CISCO [Shell-Script] Escrever números, datas, horas e outros por extenso [Shell-Script] Script simples de Backup para os diretórios listados abaixo do /

Intranet Open Source

Treinamento Zope Plone

» Destaques

28/05 - Palestra RJ: Django - um framework web para perfeccionistas co... (0) CloudConf LatAm 2012 (1) 04-06/06/2012 - Chamada para o IX Evidosol/VI Ciltec-online (0)

» Screenshot

Linux: Apos a guerra com o Kazaa, vem o descanço

Por cybercop

» Login

» Top 10 usuários

6482031: Fábio Berbert de Paula 5652243: Alessandro de Oliveira Faria (A.K.A. CABELO) 2671514: Elgio Schlemer 2663102: Davidson Rodrigues Paulo 2561139: Xerxes Lins 2381352: Jefferson Estanislau da Silva 2311104: Percival F. Jr. 2230334: Cicero Juliao da Silva Junior 2120122: André L. (pinduvoz) 2094724: Edinaldo P. Silva

» Perguntas

Qual mint usar? (7) easyBOX: mais uma distro com Openbox (4) Novo KDE em Português no Ubuntu 12.04 LTS [RESOLVIDO] (5) não consigo instalar virtualbox (3) Tela com chuviscos, flashes e fantasmas após atualização (4) Ip do virtual box [RESOLVIDO] (6) Erro no Grub (23) Eco Asterisk com X100P (4)

» .Conf

[Squid] squid.conf - Simples configuração do squid [backup-manager] backup-manager.conf - Configuração de backup simples com backup-mana... [Asterisk] asterisk.conf - Arquivo Configuração asterisk [iptables] firewall.sh - firewall.sh [mutt] muttrc - arquivo de configuração para o Mutt

Dica

Dicas de segurança em PHP

Publicado por Leonardo em 16/09/2004

Login: leosg, 5107 pontos

[ Hits: 3990 ]

Denuncie + Favoritos

Versão para impressora

Indicar para um amigo

Enviar dica

Dicas de segurança em PHP

Muito tem sido falado sobre desenvolvimento de softwares seguros, mas não são só os softwares executáveis (.exe) que podem conter vulnerabilidades, os scripts em PHP também podem apresentar diversos tipos de vulnerabilidades, a principal delas é que muitos programadores ainda tem o mau hábito de guardar suas includes em arquivos .inc.

Aparentemente não há problema nenhum em fazer isso, porém se analisarmos bem, a extensão .inc não é interpretada pelo servidor, ou seja, o usuário pode fazer o download deste tipo de arquivo e é ai que está o grande problema, os programadores utilizam estas includes para gravar o nome do usuário e senhas de acesso ao banco de dados.

Resolver esse problema é simples, basta alterar as permissões do arquivo para que os usuários não possam acessá-lo ou mudar a extensão dele para PHP, que é interpretada pelo servidor.

Este não é o único problema na hora de criar scripts em PHP, espero em breve desenvolver mais artigos sobre o assunto.

Leonardo

Fonte: http://www.rodrigobytes.com.br/

Outras dicas deste autor

Nenhuma dica encontrada.

Leitura recomendada

Documentação do CodeIgniter em português

Conversão de Arquivo TXT em PHP

Forçando quebra de linha em tabelas HTML usando PHP

Driblando o REGISTER GLOBALS OFF

PHP + Shell script

Comentários

[1] Comentário enviado por besk em 20/12/2004 - 19:06h:

eu gravo os inc em php mesmo

[2] Comentário enviado por masterboyx em 08/03/2006 - 16:59h:

é necessário que você grave os INC no phh,
para isso utilize o comando do php:

include

Valew

[3] Comentário enviado por candido1212 em 01/06/2008 - 17:55h:

o problema maior dos INC é estar disponivel na arvore disponivel na web.

ou seja que esteja dentro da árvore do DOCUMENT_ROOT,

uma boa forma de proteger contra isso, é colocar acima desta pasta, por exemplo:

/etc/meus_inc/arq.inc

algo assim, desta forma não é possível abrir pela web.

outra forma, é sempre salvar em .php

para ver e explorar esta vulnerabilidade, procure no google por config.inc db.inc etc

Responsável pelo site: Fábio Berbert de Paula - Conteúdo distribuído sob licença GNU FDL

Site hospedado por:

Viva o Linux

A maior comunidade Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda em Linux.

Estatísticas do site Equipe de moderadores FAQ: Perguntas freqüentes Membros da comunidade

Dica

Home » Dicas » PHP » Avançado » Visualização de dica

Dicas de segurança em PHP

Dicas de segurança em PHP

Viva o Linux