Rafael Rocha B. Posted October 5, 2011 Report Share Posted October 5, 2011 Olá pessoal,Gostaria de saber como faço para verificar se um arquivo está realmente sendo executado no meu servidor, para impedir que um hacker execute um script de outro servidor.Dei uma olhada nos livros que tenho e nenhum trata do assunto.Alguém já fez esse tipo de verificação?Desde já obrigado pela atenção, Quote Link to comment Share on other sites More sharing options...
0 Romero Dias Posted October 5, 2011 Report Share Posted October 5, 2011 Rafael, seja mais especifico.De uma olhada no linkhttp://www.linhadecodigo.com.br/artigo/673...ran%C3%A7a.aspxAbraço. Quote Link to comment Share on other sites More sharing options...
0 Rafael Rocha B. Posted October 5, 2011 Author Report Share Posted October 5, 2011 Muito bom o link. Valeu dica Romero.O artigo tem várias dicas de como tornar uma estrutura segura. Porém, não fala da questão que eu perguntei.Estou dando manutenção em um sistema muito mal programado, e tem um hacker invadindo e apagando o banco.Já validações de dados para prevenir o mysql injection, xss, e ativei o safe_mode do PHP para evitar que scripts que não estejam no servidor sejamexecutados. Mesmo com o safe_mode gostaria de verificar se o arquivo está sendo executado no servidor através de código, só pra prevenir. Quote Link to comment Share on other sites More sharing options...
0 Romero Dias Posted October 5, 2011 Report Share Posted October 5, 2011 Bom,você ta fazendo alguma validação de sessão, ou seja, se o usuário está logado para executar ações no banco?Existe algum tipo de autenticação?Uma dica é gravar em log todas as ações executadas no banco de dados, gravando o usuário, data e hora e a sentença executada no banco.Mas então seu problema é a exlusão indevida de dados? Quote Link to comment Share on other sites More sharing options...
0 Rafael Rocha B. Posted October 5, 2011 Author Report Share Posted October 5, 2011 Pra você ter noção o banco nem usuários tem. Ainda precisa criá-los de dar as permissões necessárias. Mas pra isso vou precisar alterar todos os arquivos que fazem conexão com o banco, que são mais de 100 ( eu disse que o sistema é muito mal programado, rs ). O cara que fez não teve a brilhante ideia de fazer um única arquivo com as conexões e chamar quando necessário.Existe autenticação sim. Mas no caso, eu só queria saber mesmo como faço pra verificar se um script está sendo executado no servidor, crio que aumenta a segurança. Quote Link to comment Share on other sites More sharing options...
0 Romero Dias Posted October 6, 2011 Report Share Posted October 6, 2011 Rafael,Voce pode dar uma olhada no log de acesso.Dentro da pasta logs do apachePara você ter uma referencia, o meu diretório é:D:\AppServ\Apache2.2\logs\access.logNo log existem as informações de quem fez a requisição, data e hora e o script.Exemplo:10.10.0.246 - - [06/Oct/2011:08:54:30 -0300] "GET /scd/service.php?classe=GrdBLL&metodo=getAll&_dc=1317901756265&IDLD=721&page=1&start=0&limit=25 HTTP/1.1" 200 1216Acesse este link para ver a quantidade de opções do log do apache:http://pt.wikibooks.org/wiki/Guia_do_Linux...e_Log_do_Apache Quote Link to comment Share on other sites More sharing options...
Question
Rafael Rocha B.
Olá pessoal,
Gostaria de saber como faço para verificar se um arquivo está realmente sendo executado no meu servidor, para impedir que um hacker execute um script de outro servidor.
Dei uma olhada nos livros que tenho e nenhum trata do assunto.
Alguém já fez esse tipo de verificação?
Desde já obrigado pela atenção,
Link to comment
Share on other sites
5 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.