Site Seguro Em Php

[Guest - David -]

olá pessoal, to precisando de algumas dicas, to fazendo um site para um cliente, e no site vai ter algumas informações em um formulário que precisam chegar a algum lugar (e-mail, banco de dados)..

queria saber a opinião de você's para chegar os dados com mais segurança e como vou fazer no arquivo php para ficar mais seguro.. aguardo.. a opinião de você's.. valeu..

[UpTroni]

por mais medidas que se tomem um site (ou sistema) nunca esta 100% seguro pois dependemos de varias possibilidades

1º nosso codigo pode estar vuneravel a ataques de sql injection, de envio de dados por GET, etc

2º dependemos do interpretador php que sempre tem um bug, por isso é bom manter sempre atualizado

3º servidor que também tem vulnerabilidades

bom o primeiro passo a ser tomado é pensar no que você vai fazer, quem vai ter acesso a que, e se você for fazer uma parte administrativa do site para o administrador(que sera seu cliente) modificar conteudo, etc. não coloque nomes obvios

como exemplo.

www.site.com/adm/

www.site.com/admin/

www.site.com/painel/

www.site.com/administrador/

www.site.com/adm(qualque coisa)/

www.site.com/adm.php

www.site.com/admin.php

www.site.com/adm(qualquecoisa).php

não coloque links para pagina administrativa em paginas dentro do site, seu cliente vai ter que decorar o link

um bom nome é inventar ex.

www.site.com/ca2po0a/

2º faça uma tabela de login do administradores separada dos clientes normais do site

3º usa criptografia nos dados e nas senhas de preferencia md5 pra você e nem niguem saber a senha do cliente

4º use sessão para todas as paginas .php, e não coloque nenhum tipo de informação no codigo

ex.

<html>

<head><title>jjj</title></head>

<body>

<!-- Pagina da administação//--> (eu já vi muito disso)

</body>

5º filtre o conteudo dos formularios, um ex. é se você sabe que em campo tal só vai retornar numeros proiba letras, ou vice versa, proiba o uso de ' " '' ´´` isso evita o sql injection

use a função addcslashes()

6º mantenha um log de ações tomadas dentro do site,

7º se o seu cliente tem ip fixo e só acessa a parte administrativa desse ip, coloque um filtro de ip, permitindo acesso as areas administrativas apenas para esse ip fixo

tem muito mais ações a serem tomadas e tomados todas elas o site não fica 100% seguro, mas já complica um pouco a vida dos hacker, e folgados de plantão que se divertem invadindo site

qualque outra duvida poste ai ou mande um pm

vlw

[Guest Visitante]

Só mais um detalhe, em exclusivo..

no site vou colocar um formulário pra enviar dados muitos sigilosos? como devo proceder pra ficar mais seguro? é melhor enviar para um bando de dados sql ou enviar o formulário por e-mail?