Segurança php

[ASD Novato]

Olá pessoal,

Estou começando de sistemas desktops para o php e estou achando tudo muito interessante.

Acabei de criar um framework mvc muito minimalista e ele está atendendo minhas necessidades incrivelmente, com uma performasse incrivel. Mas agora o sistema irá para a internet (antes só rodava dentro da empresa via intranet). Pelo o que eu tenho lido, os grandes frameworks vem com inumeros modulos de segurança. Eu gostaria de saber como eu faço meu sistema se tornar o mais seguro possivel, para evitar coisas como SQLinjection e session hijack... Mas se possivel gostaria de implementar isso tudo já no meu projeto atual, não gostaria de partir para uma grande solução.

Alguém pode me ajudar?

Obrigado!

[MTavares]

Olá...

veja se te ajuda.

http://php.net/manual/pt_BR/security.datab...l-injection.php

abs

[aliga]

Tenho a mesma duvida do usuario "ASD"

Mtavares

não entendi o "injecao de Sql" a qual você indicou no link acima

A duvida:

Como eu protejo, o meu conecta.php no codigo abaixo, para que

não invadao meu "CPANEL" NO SERVIDOR Na internet ?

**** meu codigo conecta.php

<?
$entrar = mysql_connect("www.nomedosite.com.br","usuariox","jaca9893") or die ("não encontei o Servidor");
mysql_select_db("IMOBcadastro", $entrar)  or die ("Não encontrei a base de dados!");
?>

*** quando vou chamar o cadastro de clientes no codigo clientes.php na primeira linha

<?
include "conecta.php";
?>

Pergunto :

Tem como o invasor, descubre a senha DO cpanel do meu serivdor ?

Na pratica como eu faco , para "blindar" o conecta.php ?

Ou como eu projeto, no cliente.php para que não roubem a conecao ?

Mais uma duvida , no NAVEGADOR do IE, menu arquivo, salvar como, tem como impedir, de salvarem o script da minha

pagina ? como faco para que não salvem como, o codigo do meu script?

Agradeco qualquer ajuda

Editado Maio 31, 2012 por aliga

[JaguA]

não invada seu CPanel e sim sua SQL...

o nome já diz

SQL Inject

Injeção de SQL...

isso é aplicado em cima de Strings para as query... no caso se você não tratar isso, é possivel que consiga meche no seu banco de dados atravez de uma input ou de uma variavel de URL...

um resumo bem simples para tu entender...

[aliga]

Sou leigo no assunto, e não entendi ainda.

Poderia explicar melhor como protejo a consulta da "Injeção de SQL"

Porque no codigo na pagina injecao de Sql

...codigo

<?php

$offset = $argv[0]; // Cuidado, sem validação de entrada!
$query  = "SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET $offset;";
$result = pg_query($conn, $query);

?>

nesta query se entendi ele Selecionou 20 produtos com id e nome com a ordem nome com o offset

A duvida:

Como proteger esta consulta $query, no codigo acima ? Como o Sr. faria?

porque não sei o que é $offset=$array[0]; // cuidado sem validacao de entrada

Enfim como eu projeto a consulta no codigo acima ?

Eu li , varias vezes, o assunto e não entendi...para ver que não sei mesmo.

Nota que li na pagina e não entendi tb?

isso acontece

Perceba que 0; é para fornecer uma deslocamento válido para a consulta original e terminá-la.

A outra duvida, ?

no NAVEGADOR do IE, menu arquivo, salvar como, tem como impedir, de salvarem o script da minha

pagina ? como faco para que não salvem como, o codigo do meu script?

Editado Maio 31, 2012 por aliga

[JaguA]

aliga, se possivel gostaria muito que você coloque o seu codigo dentro da caixa de código ...

agora uam forma boa de comeca a proteger com um recurso nativo do php é o addslash, no caso você pode dar uma estudada e verificar outros metodos de consegui fazer com que alguém não faça a injeção...

mais a forma mais seguro que eu conheço seria trabalha com o PDO ele nativamente trata os dados...