Your SlideShare is downloading. ×
0
Segurança em php
Segurança em php
Segurança em php
Segurança em php
Segurança em php
Segurança em php
Segurança em php
Segurança em php
Segurança em php
Segurança em php
Segurança em php
Segurança em php
Segurança em php
Segurança em php
Segurança em php
Segurança em php
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Segurança em php

363

Published on

Apresentação sobre Segurança em PHP

Apresentação sobre Segurança em PHP

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
363
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
13
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Laerte Guedes
  • 2.  As linguagens de programação por si só já possuem algumas brechas de segurança que podem vir a ser exploradas por hackers mal intencionados. Porém, estima-se que cerca de 70% das falhas exploradas não são da linguagem, e sim, da codificação indevida do sistema.
  • 3.  Mensagens de Erro: É necessário muito cuidado com a exposição de informações que mensagens de erro provocam. Uma simples falha de conexão com banco de dados pode exibir o nome do banco e o usuário do mesmo, o que é perigoso se alguém mal intencionado ver.
  • 4.  Criptografia
  • 5.  Criptografia: Como sabemos, informações trafegam e existe a possibilidade de interceptação dessas informações por um cracker. Toda informação sigilosa deve ser protegida por um algoritmo de criptografia. É aconselhável usar um bom algoritmo de criptografia, ou usar um próprio.
  • 6.  Validação de Dados: Tendo seu aplicativo na web você nunca terá 100% de controle sobre tudo que seus visitantes vão preencher em seus formulários, que diga-se de passagem, é a ferramenta mais importante de qualquer aplicação. Logo, filtre todas as informações afim de evitar ataques, tais como: XSS, SQL Injection, Mail Injection, HTML Injection e outros.
  • 7.  Configurações de Servidor: Fique atento sempre as configurações dos servidores que pretende trabalhar. Existem diretivas que podem ser exploradas facilmente se não houver a devida preocupação por parte do programador na hora da codificação.
  • 8.  Atualize-se: Procure sempre procurar sobre novos tipos de invasão e softwares mal- intencionados e modo de como proteger o seu sistema web deles. Não esqueça, todo dia surgem novos vírus e outras ameaças.
  • 9.  SQL Injection: É um tipo de ameaça de segurança que visa a inserção de instruções SQL através da manipulação de dados de uma aplicação.
  • 10.  Consideremos o seguinte comando SQL: SELECT id, nome, sobrenome FROM autores; Restringiremos nossa busca amarrando os valores inseridos pelo usuário numa cláusula WHERE: SELECT id, nome, sobrenome FROM autores WHERE nome = josé AND sobrenome = silva; José e Silva são strings cujo conteúdo será inserido como entrada pelo usuário.
  • 11.  Considerando isso, vamos supor que o usuário coloque acidentalmente uma aspa simples no meio da string inserida: SELECT id, nome, sobrenome FROM autores WHERE nome = josé AND sobrenome = silva; O inserção da aspa faz com que o que vier depois dela seja considerado como uma instrução SQL autêntica. Acima temos erro de sintaxe, mas poderíamos fazer assim: SELECT id, nome, sobrenome FROM autores WHERE nome = jo; DROP TABLE autores ;
  • 12.  Desse modo, nesse último comando, ao inserirmos uma string acrescida de aspas simples e do comando “DROPTABLE autores” no injetamos uma instrução SQL de forma indevida, e removemos a tabela autores de nosso banco de dados.
  • 13.  Resumindo, a SQL Injection só significa uma coisa para nosso sistema:
  • 14.  Usar a Função Addslashes(); Fazer validações na entrada; Usar prepared statements;
  • 15. Obrigado!

×