• 0
Sign in to follow this  
ASD Novato

Segurança php

Question

Olá pessoal,

Estou começando de sistemas desktops para o php e estou achando tudo muito interessante.

Acabei de criar um framework mvc muito minimalista e ele está atendendo minhas necessidades incrivelmente, com uma performasse incrivel. Mas agora o sistema irá para a internet (antes só rodava dentro da empresa via intranet). Pelo o que eu tenho lido, os grandes frameworks vem com inumeros modulos de segurança. Eu gostaria de saber como eu faço meu sistema se tornar o mais seguro possivel, para evitar coisas como SQLinjection e session hijack... Mas se possivel gostaria de implementar isso tudo já no meu projeto atual, não gostaria de partir para uma grande solução.

Alguém pode me ajudar?

Obrigado!

Share this post


Link to post
Share on other sites

5 answers to this question

Recommended Posts

  • 0

Tenho a mesma duvida do usuario "ASD"

Mtavares

não entendi o "injecao de Sql" a qual você indicou no link acima

A duvida:

Como eu protejo, o meu conecta.php no codigo abaixo, para que

não invadao meu "CPANEL" NO SERVIDOR Na internet ?

**** meu codigo conecta.php

<?
$entrar = mysql_connect("www.nomedosite.com.br","usuariox","jaca9893") or die ("não encontei o Servidor");
mysql_select_db("IMOBcadastro", $entrar)  or die ("Não encontrei a base de dados!");
?>
*** quando vou chamar o cadastro de clientes no codigo clientes.php na primeira linha
<?
include "conecta.php";
?>

Pergunto :

Tem como o invasor, descubre a senha DO cpanel do meu serivdor ?

Na pratica como eu faco , para "blindar" o conecta.php ?

Ou como eu projeto, no cliente.php para que não roubem a conecao ?

Mais uma duvida , no NAVEGADOR do IE, menu arquivo, salvar como, tem como impedir, de salvarem o script da minha

pagina ? como faco para que não salvem como, o codigo do meu script?

Agradeco qualquer ajuda

Edited by aliga

Share this post


Link to post
Share on other sites
  • 0

não invada seu CPanel e sim sua SQL...

o nome já diz

SQL Inject

Injeção de SQL...

isso é aplicado em cima de Strings para as query... no caso se você não tratar isso, é possivel que consiga meche no seu banco de dados atravez de uma input ou de uma variavel de URL...

um resumo bem simples para tu entender...

Share this post


Link to post
Share on other sites
  • 0

Sou leigo no assunto, e não entendi ainda.

Poderia explicar melhor como protejo a consulta da "Injeção de SQL"

Porque no codigo na pagina injecao de Sql

...codigo

<?php

$offset = $argv[0]; // Cuidado, sem validação de entrada!
$query  = "SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET $offset;";
$result = pg_query($conn, $query);

?>

nesta query se entendi ele Selecionou 20 produtos com id e nome com a ordem nome com o offset

A duvida:

Como proteger esta consulta $query, no codigo acima ? Como o Sr. faria?

porque não sei o que é $offset=$array[0]; // cuidado sem validacao de entrada

Enfim como eu projeto a consulta no codigo acima ?

Eu li , varias vezes, o assunto e não entendi...para ver que não sei mesmo.

Nota que li na pagina e não entendi tb?

isso acontece

Perceba que 0; é para fornecer uma deslocamento válido para a consulta original e terminá-la.

A outra duvida, ?

no NAVEGADOR do IE, menu arquivo, salvar como, tem como impedir, de salvarem o script da minha

pagina ? como faco para que não salvem como, o codigo do meu script?

Edited by aliga

Share this post


Link to post
Share on other sites
  • 0

aliga, se possivel gostaria muito que você coloque o seu codigo dentro da caixa de código ...

agora uam forma boa de comeca a proteger com um recurso nativo do php é o addslash, no caso você pode dar uma estudada e verificar outros metodos de consegui fazer com que alguém não faça a injeção...

mais a forma mais seguro que eu conheço seria trabalha com o PDO ele nativamente trata os dados...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this