Segurança No Desenvolvimento Em Php
#1
Posted 18/05/2007, 16:53
#2
Posted 18/05/2007, 19:41
pois quando a senha do usuario por exemplo é 1234 no seu bd vai estar assim au2344oisociiDoioa (tipo isso)
lembrando tambem que tente evitar de passar informações importantes por sessions sempre manter codificado campos importantes no bd e por ai vai...
mas procure aqui no forum algo por md5 ou hash que você concerteza encontrará respostas !!
ou melhor ainda... pesquise o manual
http://www.php.net/manual
#3
Posted 18/05/2007, 22:32
O md5 não tem volta, ou seja, uma vez encriptado, fica encriptado pra sempre, até que os aliens invadam a terra, roubem nossas informações e aí sim descubram uma volta pro Md5...
Então, se você for fazer um sistema de login, por exemplo, vai ficar difícil do usuário recuperar a senha se peder.
(Me corrijam se eu estiver errado)
[]'s
#4
Posted 19/05/2007, 00:23
Só tem um problema, né?
O md5 não tem volta, ou seja, uma vez encriptado, fica encriptado pra sempre, até que os aliens invadam a terra, roubem nossas informações e aí sim descubram uma volta pro Md5...
Então, se você for fazer um sistema de login, por exemplo, vai ficar difícil do usuário recuperar a senha se peder.
(Me corrijam se eu estiver errado)
[]'s
Sim, por isso que normalmente nos botões Esqueceu sua senha? de sites com login, é gerada uma nova senha, e a senha anterior não é recuperada.
Não entendi o que o colega quis dizer com evitar armazenar valores importantes em SESSIONS, elas são armazenadas no servidor, então são muito mais seguras, que os cookies por exemplo.
#5
Posted 21/05/2007, 04:31
ja vi site q usa sessid + user_agent + ip pra verificar se e' mesmo o usuario...
#6
Posted 21/05/2007, 13:40
#7
Posted 21/05/2007, 13:51
Algumas outras dicas de como programar com segurança no PHP:
http://www.htmlstaff...ver.php?id=1356
http://www.htmlstaff...ver.php?id=1357
http://www.htmlstaff...ver.php?id=2831
http://www.htmlstaff...ver.php?id=6569
#8
Posted 21/05/2007, 14:59
This is either stored in a cookie on the user side or is propagated in the URL.
Sobre segurança, não costumo usar MD5 para sistemas pequenos. No máximo um addslashes e olhe lá... ^^
Na verdade faço os seguintes procedimentos.
Checo se está habilitado no servidor a opção magic_quotes:
(!get_magic_quotes_gpc()) ? :;
Se estiver habilitada eu retiro o que ela aplicou na função com o stripslashes direto nas super globais:
foreach($_GET as $k => $v){ #... } #...
Só atente para o fato de que um dos elementos pode ser um vetor, então uma verificação (is_array) e um array_map podem ser necessários em alguns casos.
Depois eu aplico as funções que considero necessárias a cada tipo de dado, por exemplo, removo caracteres que considero dispensáveis, palavras, faço as verificações de rotina (campo preenchido corretamente, etc), só depois eu aplico novamente o addslashes e mysql_real_escape_string() -- mysql_escape_string no php < 4.3 -- para já se adequar ao charset atual.
As vezes eu só verifico o tipo de dado necessário ao consultar o BD:
$query = sprintf("SELECT user FROM `tabela` WHERE `user`=%s",verifica_dado($_POST['user'],'string_s'));
No caso o $_POST['user'] tem que ser uma string simples, senão ele passa a ter o valor NULL.
É por aí, cada um faz de um jeito. Mas só uso o MD5 como citado se for muito necessária a confidencialidade dos dados.
Yeah I do have some stories, and it's true I want all the glory ...
#9
Posted 21/05/2007, 17:36
Mas acho que tem sim...
Exemplo:
http://www.md5decrypter.com/
"Se quiser ser feliz por um dia, vingue-se; se quiser ser feliz por uma vida inteira, perdoe."
Muito Obrigado à todos do fórum, e à toda equipe do fórum!
#10
Posted 21/05/2007, 17:49
Yeah I do have some stories, and it's true I want all the glory ...
#11
Posted 21/05/2007, 17:51
Esse link postado não faz o inverso do MD5 ... ele tem salvo no BD mais de meio milhão de registros e tenta achar o que você colocou .... por exemplo, se eu for lá e digitar bimonti, ele faz be1b4298a9605dc87cdc31e8c33602ab, e ao mesmo tempo aumenta 1 no total de registros no banco ... ae no decrypter se eu colocar be1b4298a9605dc87cdc31e8c33602ab e já tem cadastrado esse hash como bimonti ...
Hmm legal heim, só que também já é uma coisa boa xD.
"Se quiser ser feliz por um dia, vingue-se; se quiser ser feliz por uma vida inteira, perdoe."
Muito Obrigado à todos do fórum, e à toda equipe do fórum!
#12
Posted 22/05/2007, 09:03
1 user(s) are reading this topic
0 membro(s), 1 visitante(s) e 0 membros anônimo(s)