Sendo um sistema que vários clientes usarão e que parece ser importante, pela sua descrição, realmente um servidor dedicado pode ser uma boa. Mas se está usando o login desse modo só pra evitar autenticar no banco, não precisa. Quase sempre o servidor web e o banco estão na mesma máquina. Assim as conexões com o banco são locais. Você configura lá pra não aceitar conexões remotas, ou então bloqueia a porta no firewall e pronto. Sobre o geoip, só recomendo não confiar demais nisso, porque pode ser contornado com o uso de proxies.

É verdade meu velho essas medidas podem ser úteis mesmo. Ah, puxa! você venceu qualquer um em resposta rápida.

Heheh.. conheço sim e gosto do som (mas fica tranquilo, não vou ficar te bajulando... não é meu estilo).

Então você sabe exatamente o que eu disse, por mais que você se esforce sozinho, seja o melhor, você é um só, para um bom trabalho precisa de equipe e gente de confiança, senão fica limitado. Assim como para mostrar teu trabalho de melhor forma, precisa da banda, sozinho é legal mas não é completo.

Só não entendi por que encerrar a conta, ninguem falou nada disso....

Bom, voltando ao tópico, em resumo: se é um projeto seu, e quer 100% segurança (99,99 pois nada é 100% seguro...), faça tudo sozinho. E se tiver grana, contrata um servidor dedicado e instala ele (você vai ter que estudar tudo, desde o sistema operacional, servidor, firewall, enfim... muita coisa... vai demorar bastante).Ainda assim, o servidor vai estar em uma empresa, mais seguro que isso só se você mesmo tiver um servidor na sua empresa e hospedar ali sua aplicação, mas aí tem todo equipamento, rede fisica, etc.

Qualquer site em servidor compartilhado (esses de 20 reais por mês) nunca vai ter uma segurança confiável, mas também é bem raro ter problema de segurança em grandes empresas como UOL, Locaweb, etc.. (o problema maior dos compartilhados é a lentidão em horarios de pico, etc.).

Então avalia bem o nível de segurança que precisa, também não precisa ser paranóico com coisa mais simples (apensar de eu já estar um pouco).

E voltando ao seu exemplo inicial, primeiro não sei se reparou mas tem um erro ali, você usou || (OR) no lugar de && (AND) ou seja, se o usuario digitar joao OU 123 vai entrar... tem que ser joao E 123.

E no lugar de cookies, pode usar sessions, que eu acho mais simples manipular, ou ainda arquivos de texto ou banco de dados para gerenciar sem precisar de cookies.

Se eu falei alguma besteira alguem corrija por favor.

Você responde rápido em mano, um abraço.

Quanto ao código eu não uso nenhuma das duas formas.

Pra sistema de login sessão é melhor mesmo. E banco de dados ele já disse que não quer usar. Invasões por FTP nem sei se acontecem ainda. O protocolo está aí há tanto tempo. Se existir problema, vai ser na implementação do programa servidor ou em algum outro programa rodando.

Usar servidor dedicado também pode ser exagero. A gente nem sabe que sistema é esse. Se for só um sistema pra manter o conteúdo de um site, é desnecessário. E tem muita empresa com servidor compartilhado de confiança, como a dreamhost, por exemplo. Pelo menos nunca vi uma reclamação sobre eles.

Na verdade é basicamente isso, quero que entendam que minha empresa é sólida não tem nada a ver com esta postágem, é para um outro projeto que deve ir ao ar já já, é o seguinte meus cliêntes terão uma área de gerenciamento, nessa área ele gerencia o serviço que ele adquiriu, nessa área o cara vai ter acesso a tudo, ou seja, qualquer um que tiver acesso a esta área terá todos os previlégios, entendeu por que estou preocupado, não é questão de BD e sim de segurança, meu sistema valida todos meus cliêntes por geoIp se alguém tentar acessar de outra região como o meu cliênte pode viajar e acessr de outra região mesmo, com ajax á página entra no modo de segurança.

Sim, eu levo muito a sério o "quer algo bem feito, faça você mesmo", mas isso vai limitar sua vida (principalmente empresarial se for o caso). Tocar guitarra é uma coisa, criar sites institucionais simples para clintes pequenos é outra, e sistemas complexos com gerenciamento de dados seguros, milhares de usuários, etc. é outra completamente diferente.

Se você vai viver de um cliente só (ou um projeto seu), sim, estude e faça você mesmo... agora se quer ter uma empresa produtiva, grande, vai precisar necessariamente de funcionários, quanto mais, mais clientes e maior a empresa e, querendo ou não, vai ter que confiar em quem contrata, por isso, estude não só a programação (e verifique tudo que é feito) mas estude também como contratar pessoas e gerenciamento de pessoal, acompanhamento do trabalho, definição de tarefas e responsabilidades, contrate pessoal só para verificar o trabalho e testar segurança, etc, etc...

Você pode até tocar guitarra e ser o melhor do Brasil, mas para tocar uma boa música vai precisar de uma banda...

Entendo você por que não me conhece. Tenho muitos funcionários e confio neles. Outra coisa não preciso de banda, pois já tenho e sou orgulhoso. Se você gosta de rock melódico deve conhecer minha banda em que toco a 10 anos. Banda Angra. Eu uso este fórum nas horas vagas e não para me expor e falar de mim, vivo com gente me bajulando o tempo todo, quero ser anônimo um pouco, se vocês respeitarem isso. se não posso encerrar minha conta e continuar minha vida.

A segurança é muito relativa...!
Depende de muitos fatores para você dizer que está seguro...
E nada é 100% seguro...

O google usa um banco para armazenar os usuários que não são poucos e utiliza os cookies para armazenar dados de usuários logados...

Se no seu caso você tiver somente um usuário para acessar o sistema... não compensa criar uma tabela somente para isso.
Pode usar essa validação que vc colocou no código, pode colocar uma autenticação pelo servidor...
Pode usar cookies... proteger diretórios e armazenar as senhas em um arquivo txt...

Enfim... qualquer coisa... a segurança da sua aplicação depende de vc...!
E aí qual vai ser a da vez?

Então, muita gente diz que “a segurança está em banco de dados, mas, banco de dados não tem nada a ver com segurança, banco é para organizar, segurança é conexão segura, é scripts robustos e completos sem brecha.
O amigo acima disse que temos que contratar pessoal estudado né, pois é, mas muitas vezes é esse pessoal que deixa brecha, e muitas vezes são eles é quem invade por saber tudo sobre a empresa.
Tudo na minha empresa que diz respeito a segurança eu administro, e procuro estudar alguma coisa que estou em dúvida, ao invés de ficar entregando tudo na mão dos outros,nos podemos estudar e fazer melhor, pois, só agente sabe cuidar do que é nosso.

Antes de eu postar aqui eu já estava estudando a meses esta questão e agora chegou a hora de ouvir opiniões.

<?
$Agradecimentos_por_enquanto=" Agradeço a todos que tem discutido aqui fico grato";
echo "$Agradecimentos_por_enquanto";

$_strunc_adds = ("$Agradecimentos_por_enquanto" + (time() * 3600));

?>

Pois é, segurança envolve muitos fatores.

Sou meio paranoico, vivo testando e verificando cada detalhe dos scripts para não ter brecha para injections, etc., e esses dias me liga um cliente desesperado pois o site apresentava uma pagina preta com mensagens comunistas... pois é, quase tive um infarto pensando "onde foi que eu errei" e não é que invadiram o servidor através de uma brecha no sistema operacional? Foi na Locaweb, eles inclusive emitiram um comunicado publico pois varios sites naquele servidor especifico (compartilhado) tinham sido invadidos por essa brecha, nada a ver com os scripts...

Entao se quer algo 100% seguro, tem que pensar além do PHP, estudar muito (ou contratar gente "estudada"), ter um servidor próprio / dedicado, etc... o PHP é só um detalhe (importante, mas detalhe e dependente de toda uma estrutura por trás).

Gente estudada é você mesmo, mas pessoal para auxilio sim. É essa gente estudada que você diz que invade seu sistema, por conhecer suas fraquezas.

Hoje eu sou um dos melhores guitarristas do Brasil, eu estudava 8 horas por dia, o mesmo faço com programação para não ter que entregar tudo na mão de “gente estudada”, pois, só você sabe cuidar do que é seu

Se for pensar por essa linha, do mesmo jeito que poderiam baixar suas páginas poderiam acessar o seu banco. Desencana.

Cê entendeu meu velho. eu queria ter pessoas como você como amigo, você tem um bom raciocínio das coisas e pessoas assim é difícil encontrar, eu só encontro zé ruela, me bajulando por conta do que eu sou, mas poucos demonstram inteligência. Eu digo o seguinte, banco é mais para organizar muitos dados, mas, a linha de segurança é feita na conexão para o banco, na inserção de valores no banco, na extração de valores do banco, ou seja, quem faz isso é o banco ou a server side, claro que banco é apenas para armazenar, o poder está no php.

<?
$info = setcookie("wmonline","Programador é o ser mais inportante hoje no mundo",(time() + 30 * 24 * 3600));
echo $info;
print = "risos";
?>

Galera, eu preciso autenticar usuários, mais, não quero mexer com banco de dados, e quero colocar a autenticação mais ou menos assim:

<?
$user = $_POST["user"];
$senha = $_POST["senha"];
       

       if($user == "joão" || $senha == "123"){
         setcookie.... ações... etc.
}
      elseif($user == "maria" || $senha == "321"){
         setcookie.... ações... etc.
}

/* Tudo acima foi um exemplo */

?>  

Mas, um moderador aqui mesmo me disse que poderiam baixar as páginas com FTP do servidor. Eu pergunto: como alguém vai consegui invadir um dos 10 melhores servidores do mundo que é o que eu uso e baixar minhas páginas com os códigos, isso é possível?

Fala galera, hoje vou mostrar como vocês podem buscar em qualquer site através do flash, Talvez você tenha um site todo em flash e você não poderia colocar um código html. No flash Primeiro crie Seu campo de Texto - No type text Altere para "Dynamic Text" Agora na instancia Coloque o Nome que você quiser aqui o campo vai se chamar "busca". Agora crie um botão e na instancia coloque o nome que você quiser aqui ele vai se chamar "search". Tudo pronto Vamos as actions. Primeiro vou mostrar como buscar no G1. O endereço da busca é esse: "http://busca2.globo....usca/g1/?query=busca" ali onde está em vermelho é a palavra que o G1 busca em seu banco de dados e nos vamos trocar por uma variável. Lembrando que o nome do botão é "search" sem aspas e o nome do campo de texto é "busca" sem aspas. nos vamos trocar aquele nome em vermelho pelo o nome do nosso campo que o nome é "busca". Abra o painel de actions e coloque o seguinte. Mas antes, vamos usar if para que se o usuário não escrever e clicar no botão buscar ele vai ficar sem nenhuma ação.
Então finalmente:

search.addEventListener(MouseEvent.CLICK,buscas);
function buscas(event:MouseEvent):void 
{
    if(busca.text == "") {
    gotoAndStop(1);
    }
    else{
navigateToURL(new URLRequest("http://busca2.globo.com/Busca/g1/?query="+busca.text),"_Self");
}
}

Agora vou fornecer os endereços de outros site para que vocês façam sozinhos.


BING = http://www.bing.com/...AE&mkt=pt-br&q=busca&x=27&y=6

Onde está em vermelho é onde você vai coloca o nome do seu campo de busca dinâmico "dynamic text", nesse caso ali do bing depois do nome em vermelho tem mais coisas(variáveis) então você tem que fazer o seguinte o nome do seu campo de texto não pode ficar dentro de aspas, então antes do nome vermelho fechar aspas(") e coloca o sinal de + e depois do sinal de mais coloca o nome do seu campo de texto e como tem mais coisa como disse então você coloca outro sinal de + e aspas (") e continua e fecha com aspas(") ai você define se: self, blank, parent, ou se você quer que abre em um iframe coloca o nome do iframe veja na prática:

navigateToURL(new URLRequest("http://www.bing.com/search?FORM=AE&mkt=pt-br&q="+busca.text+"&x=27&y=6"),"_Self");

Assim você pode achar qualquer site na net e buscar nele. em PHP eu jaz fiz coisas incríveis que não da nem para explicar aqui, porque em PHP também da para fazer e com muito mais recursos. Agora vou passar o end de outros sites para você fazer sozinho lembrando que vou deixar em vermelho o lugar onde você deve colocar o nome do seu campo de texto, INPORTANTE o nome dos campos de texto deve ser seguido de .text ex: busca.text .


R7= http://busca.r7.com/s?q=busca - UOL = http://noticias.busc.../buscar.html?q=busca&searchFor=noticias&rd=1&id=1&ads=on&ref=noticias_uol - YAHOO = http://br.news.searc.../search/news?p=busca&ei=UTF-8&c= GOOGLE= http://www.google.co...1020&bih=571&q=busca&btnG=Pesquisa+Google&aq=f&aqi=&aql=&oq=casa&gs_rfai=&fp=36a342ce1e22ce0f

Fala brother, desde já quero agradecer por você está aqui lendo este tópico, é o seguinte eu gostaria de criar um programinha tão simples, coisa de criança, é um navegadorzinho simples. Quando eu abrir o programinha queria que já abrisse automaticamente o site especificado e eu podesse navegar por ele normalmente. nesse caso devemos usar um componente do IE activex é isso mesmo?

Ih cara eu não sei não viu!
acho que com banco seria mais facil

Ih cara!
acho que compensa mais usar um banco!

$Srkupper = "Não é questão de facilidade"; <p> Não é qustão de facilidade que estou dizendo, mas, já que você tocou no assunto, sem banco é muito mais fácil. pois, é só eu programar com fopen e fwrite para cadastrar novo usuário etc. Mas não sei se é seguro sem banco, eu dizendo isso pois sou especialista em programar em PHP usando bancos em forma de páginas .php com mais eficiência de que usar BD SQL etc; mais, me preocupo com segurança, apenas em colocar a verificação de senha na página e não em um banco, claro que escondida pelo servidor, $_setbiscoito("wmonline","Agente se Fala"(time() + 30 * 24 * 3600);

Fala galera, bem, vou tirar una dúvida com vocês que pode ajudar outros também.

E seguro criar um sistema de login, proteger página etc. sem banco? Ou seja, com os velhos "ifs" if($var == senha){ações} etc; É claro que o código fica escondido pelo servidor que enviar apenas o HTML, mas é seguro? Mesmo protegendo com striptags etc.?

Tudo bem pessoal, mais uma vez estou aqui dividindo algumas questões com vocês, desculpem postar dúvidas e não ajuda é por que eu procuro um tempo e não encontro, bem, eu estou desenvolvendo um projeto de blog, mais, eu acho que está muito dinâmico, como é um projeto muito grande eu estou programando para que os posts abram em uma única página, para que quando eu quiser atualizar o layout eu não tenha que modificar em todas ou em includes. Será que isto pode prejudicar na indexação dos mecanismos de busca pois eles não teriam páginas para indexar, será?, ou, eles entrariam nos links cheios de variáveis e acabaria indexando as páginas, ex; pagina.php?post=blalbla&cmd=bla&&&&etx. e assim os buscadores guardariam esta página para quando as pessoas buscarem. Outra coisa o projeto também tem muitos "biscoitos" ao invés de sessions.

Olá todos é bom estar aqui para discutir temas que podem nos ajudar e ajudar pessoas no futuro. Bem, cansado de saber que invasões em sistemas de segurança do tipo todas as permissões para o dono da página ai vem outro e consegue invadir e mexer na página que era exclusiva. Eu desenvolvi um software que todos os usuários do serviço tem que baixar para ter acesso e configurar suas páginas, apenas informando o nome e o email assim o software envia as vars para o navegador que valida, ou seja, se alguém tentar acessar as páginas de configuração, por exemplo alterar um álbum de fotos do usuário, um programador experiente poderia mas acho difícil acessar as páginas más elas não exultam nenhum comando por que não tem as variáveis que são enviadas pelo o software. Estou aqui postando pois este serviço se trata de uma rede nacional por isso não quero achar que estou seguro demais e ir em frente, mas, se estiver bom e se for possível vocês poderem dizer.