Jump to content


Photo

Problema De Pishing No Meu Código Php

Started By gabrielb, 05/07/2008, 17:27

  • Faça o login para participar
3 replies to this topic

#1 gabrielb

gabrielb

    Turista

  • Usuários
  • 45 posts
  • Sexo:Não informado

Posted 05/07/2008, 17:27

Olá,

Estou utilizando um pequeno e simples código em PHP para o usuário visitar as diversas páginas do site, segue abaixo o código:

<?
$paginas="";
$inicio="news.php";
$erro="news.php";

if(file_exists("$pag")){
include("$pag");
}

else if($pag == index || $pag == home || $pag == ''){
include("$inicio");
}

else{
include("$erro");
}
?>


Ele funcionava perfeitamente, quando ultimamente tenho recebido emails de empresas avisando que meu site está sofrendo de pishing, por causa desse código aí. Eles conseguem enviar arquivos pro meu server, mudar certas coisas, e fazer aquelas páginas fakes para se logar no Paypal por exemplo.

Eu conheço somente a programação básica da linguagem, então se alguém tem alguma sugestão do que eu posso acrescentar, mudar.. poste aqui!

Muito obrigado!

#2 lwirkk

lwirkk

    Veterano

  • Usuários
  • 1314 posts
  • Sexo:Não informado

Posted 05/07/2008, 18:01

Umas dicas seriam...

No file_exists(), ao invés disso coloca is_file()

E no link de query string coloca só algum nome por exemplo...
E na verificação você coloca o resto da extensão do arquivo e DIRETÓRIO PADRÃO, assim já evitaria muita coisa... Mas o problema do pishing pode não ser esse também. (y)

exemplo se colocar na URL, ?pag=contato

ele pegaria a pagina chamada contato.php que esta dentro da pasta paginas, o mesmo serve para a news.php que seria bom colcoar junto a pasta também... =)

<?
$paginas="";
$pag='paginas/'.$_GET['pag'].'.php';
$inicio="paginas/news.php";
$erro="paginas/news.php";

if(is_file("$pag")){
include("$pag");
}

else if($pag == index || $pag == home || $pag == ''){
include("$inicio");
}

else{
include("$erro");
}
?>


Edição feita por: lwirkk, 05/07/2008, 18:03.

Posted Image
"Se quiser ser feliz por um dia, vingue-se; se quiser ser feliz por uma vida inteira, perdoe."

Muito Obrigado à todos do fórum, e à toda equipe do fórum! =)

#3 victorhb

victorhb

    24 Horas

  • Usuários
  • 489 posts
  • Sexo:Masculino
  • Localidade:Brasília-DF

Posted 06/07/2008, 15:19

Cara, uma sugestão...

Antes de incluir, insira todas as páginas possíveis dentro do array $possiveis.

O script vai procurar dentro do array, se o valor bater com algum valor de array ele inclui, caso contrário inclui outra página qualquer.

<?php


$possiveis=array();

$possiveis[]="index"
$possiveis[]="blabla"
$possiveis[]="contato"
$possiveis[]="fotos"


if(array_search($p,$possiveis)!==FALSE)
{include("$p.php");}

else
include("default.php");

?>

#4 gabrielb

gabrielb

    Turista

  • Usuários
  • 45 posts
  • Sexo:Não informado

Posted 06/07/2008, 21:07

Muito obrigado pelas respostas. Vou testar aqui!

Vlw mesmo.
Voltar para PHP


1 user(s) are reading this topic

0 membro(s), 1 visitante(s) e 0 membros anônimo(s)

  1. Fórum WMO
  2. Desenvolvimento
  3. PHP
  4. Privacy Policy
  5. Regras ·
IPB Skin By Virteq