Segurança Em Scripts

#1 nick171

<? if => erro ?>

Usuários
612 posts

Sexo:Não informado

Posted 11/06/2005, 00:34

Ai, eu li muitas matérias sobre falta de segunrança em scripts, de pessoas que utilizando programas como webcopier por exemplo conseguiram copiar os arquivos de um site, descobriram uma falha no scripts e invadiram pelo sistema de administração mesmo.

Ou casos que tem aquelas url

http://www.site.com....loads&arquivo=1

Que como o arquivo consulta a tabela, trazendo o id e tudo mais o cara só adiciona

http://www.site.com....loads&arquivo=1 DROP DATABASE

ou algo assim, e apaga toda a tabela ou bd do site.

A unica coisa que sei que não se deve fazer é criar um arquivo de config.inc, pois pode ser vizualisado no navegador todo o código font, ja config.php não.

Já o restante....

Porque to criando meu primeiro sistema de administração para um site meu, e ta uns 65% completo, mas como sou um pouco leigo ainda, não sei as melhores medidas a serem tomadas, oque devo evitar para que não haja falhas de segurança.

Alguem ai sabe como evitar estas falhas????

Encontrar e corrigir os bugs.
Impedir diretórios de serem copiados (Não sei se dá).
Apagar dados do bd pela url.
Oque não pode ser colocado em um script.
Ou tem alguma dica util que possa ajudar???

Nícolas Vieira Rossett

"O maior segredo da vida é que a mesma não é um processo de descoberta, mas sim de criação.
Você não está se descobrindo, mas se recriando.
Por isso não tente descobrir quem você é, mas busque determinar... "Quem você quer ser"!!!

#2 pynan

Novato no fórum

Usuários
5 posts

Sexo:Não informado

Posted 11/06/2005, 05:06

Bom se você sabe inglês eu tenho um ótimo tutorial, chamado 'Writing Secure PHP Code', http://solidox.org/i...tion:view,id:11

#3 Paulo Freitas

××××××× LRU #456504 ××××××× ××××××× LRM #364686 ×××××××

Ex-Admins
5612 posts

Sexo:Masculino
Localidade:Campinas - SP

Posted 11/06/2005, 14:15

Para solucionar uma boa parte de suas dúvidas, faça uma busca por SQL Injection ...

[]’s

Até mais

#4 nick171

<? if => erro ?>

Usuários
612 posts

Sexo:Não informado

Posted 11/06/2005, 18:36

Tá e esta seguraça em cookies por javascript que eu vi falando em alguns sites, como eu faço???

Pois o sistema de login do meu site é por cookie tb.

E mais uma coisa.

Eu vi uns tópicos ai pra evitar o SQL Injection e tal.

Mas tirando ele, qual as melhores medidas de segurança???

#5 H3NR!QU3

Progamador PHP!

Usuários
1032 posts

Sexo:Não informado
Localidade:cuiaba MT
Interesses:programação... PHP,JAVA,C++ ,c,c# asp, asp.net e delph

Posted 11/06/2005, 19:57

nunca deuxe a query sgring asism..

?pagina=noticias.php

<?
include"".$_GET['pagina']."";
?>

pois o kra pode fazer qualquer coisa com sua home page mudando apenas o caminho da pagina a ser incluida

.................................................................
coloque proteção contra sql injection
..........................................................................
se tiver um mural d erecados ow algo semelhante em seu site
bloqueie os caracteres expexiais como... " / \ < >' .
............................................................................................
em fim faça uma busca auqi no forum que existe minhlhares de topicos sobre o assunto

fuizzz.... (y)

#6 Klaus

@ ubuntu jaunty

Ex-Admins
7924 posts

Sexo:Masculino
Localidade:127.0.0.1

Posted 11/06/2005, 20:14

Tudo se resume em uma simples preocupação:

Validar dados externos.

Klaus Paiva
Conheça também: Taperás