PHP: Programando com segurança
Este documento tem como ênfase a programação com o mínimo de segurança aceitável para um sistema. Quando falamos de segurança, temos que ter noção que um projeto já deve nascer com esta preocupação. Que os programadores deste projeto também tenham esta preocupação na construção do código.
[ Hits: 44.052 ]
Por: leo genilhu em 03/03/2006
Gravar arquivos via upload
Exemplo:
{//Verifica se o mime-type do arquivo de imagem
if(!eregi("^image/(pjpeg|jpeg|png|gif|bmp)$", $this->arquivo["type"])){
return 0;
}else{
return 1;
}
}
OBS: Também teremos uma classe sobre upload que teria um método de tratamento de tipos com sua documentação de uso. Com isso não seria gravado outro tipo de arquivo que não uma imagem.
Poderíamos citar N outros casos de invasão ou insegura de um sistema. Por isso acredito que esta documentação estará sempre aberta. Porém o mais importante é ter a consciência de projetarmos desde o início o sistema pensado sempre na responsabilidade de termos SEGURANÇA.
2. Tratamento de dados e SQL injection
3. Tipo de dados e restrição de HTML htmlspecialchars
4. Gravar arquivos via upload
Criando backup do MySQL com o mysqldump
Sistema de identificação em rede (NIS)
Fazendo sua conexão remota por SSH mais segura
Segurança: Autenticando o PHP com HTTP (Authentication Required)
Dicas básicas de segurança no PHP
Vulnerabilidade em formulário PHP
Dados sensíveis em arquivos com extensão .inc
Criptografia do método GET no PHP
Segurança: Autenticando o PHP com HTTP (Authentication Required)
só uma dúvida, se eu enviar um dado não seria melhor eu receber como a varialvel dele?
em vez de receber assim $_POST['variavel']
não seri amais prudente receber assim $variavel
?
profeta_livre, assim como ele falou no artigo, a opção "global vars" do PHP pode estar desabilitada e mesmo que estivesse habilitada o preferível é assim pois se mudar algum dia a configuração você não terá problemas e também tem a questão de você querer que o usuário use POST e não tente enviar por GET para driblar qquer verificação ou limitação que vc impôs, há várias coisas para citar.
certeza, evitar register globals é a melhor coisa a se fazer, é muito inseguro.
Principalmente para sites que deixam as variaveis via get, sendo mostradas.
Meu caro leogenilhu, um bom artigo para começar, seria interessante postar links de artigos sobre segurança PHP, é muito importante para a galera que ta começando e para quem já sabe.
ficou bom o artigo, mas não completo.
você colocou exemplos de códigos errados e tal.. mas e os códigos certos? tudo bem, é possível procurar e tal.. mas como eu disse.. não está completo.
mas não se engane.. seu artigo não está ruim.. pelo contrário.. está muito bom..
parabens
O certo ele ja falou no próprio texto, o que se deve fazer.
E não há apenas códigos errados, há os certos também, como a verificação do arquivo, da verificação da origem e do tratamento de dados. Esses são códigos corretos!
Até
O artigo está legal, mas não concordo em parte!
Sob o ponto de vista da segurança, não há problema algum em enviar informações pela URL. Pode-se enviar dados com POST tanto quanto por GET, não há nada que impeça o cliente de enviar o que bem entender com POST! Alias, enviar o script a ser carregado pela URL é um vantajoso, pois facilita a organização do "Favoritos". O que impede o seu website de virar um "pornstar" é o tratamento das informações recebidas dos clientes. Um simples "basename" resolve o problema, reduzindo a possibilidade de inclusão aos scripts dos diretórios de inclusão.
Um abraço a todos!
Existe um ótimo manual de segurança em PHP, chamado PHP Security: http://phpsec.org/php-security-guide.pdf
Com dicas próximas e complementares às fornecidas pelo Leo
Parabéns pelo artigo!
Muito boas as dicas de segurança do artigo, realmente que está começando não se importa muito com a segurança, o importante mesmo é funcionar, mas não deveria ser assim.
php é sempre uma dor de cabeça, mais é complicado codar sem ouver um erro, agente faz o script com uma intenção...mais esse tipo de erro é relativo, sempre vai ter...
mais vlw ai por enviar o tuto ;]
muito bom essas variaveis as vezes me da uma dor de cabeça uhashuuha
flow fuiz
Patrocínio
Destaques
Atenção a quem posta conteúdo de dicas, scripts e tal (1)
Artigos
Manutenção de sistemas Linux Debian e derivados com apt-get, apt, aptitude e dpkg
Melhorando o tempo de boot do Fedora e outras distribuições
Como instalar as extensões Dash To Dock e Hide Top Bar no Gnome 45/46
Dicas
Como Atualizar Fedora 39 para 40
Instalar Google Chrome no Debian e derivados
Consertando o erro do Sushi e Wayland no Opensuse Leap 15
Instalar a última versão do PostgreSQL no Lunix mantendo atualizado
Flathub na sua distribuição Linux e comandos básicos de gerenciamento
Tópicos
erro ao clonar repo github (7)
ASRock H310CM-HG4 vs Linux (1)
Como adicionar módulo de saúde da bateria dos notebooks Acer ao kernel... (26)
Top 10 do mês
-
Xerxes
1° lugar - 72.488 pts -
Fábio Berbert de Paula
2° lugar - 57.977 pts -
Clodoaldo Santos
3° lugar - 44.848 pts -
Buckminster
4° lugar - 26.864 pts -
Sidnei Serra
5° lugar - 26.023 pts -
Daniel Lara Souza
6° lugar - 17.804 pts -
Mauricio Ferrari
7° lugar - 17.289 pts -
Alberto Federman Neto.
8° lugar - 17.225 pts -
Diego Mendes Rodrigues
9° lugar - 15.533 pts -
edps
10° lugar - 14.644 pts
Scripts
[Shell Script] Script para desinstalar pacotes desnecessários no OpenSuse
[Shell Script] Script para criar certificados de forma automatizada no OpenVpn
[Shell Script] Conversor de vídeo com opção de legenda
[C/C++] BRT - Bulk Renaming Tool
[Shell Script] Criação de Usuarios , Grupo e instalação do servidor de arquivos samba
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
