Segurança com PHP
Theoziran Lima

Definição de segurança
• Segurança é definir os limites e as
responsabilidades dos processos.
• Exemplo:
– No uso de modificadores de acesso
– Gerenciamento de processos na memória
(área do processo)
– Permissões de usuários

Principais tipo de ataque
• SQL Injection
– Uma das técnicas de fraude mais conhecida pelos desenvolvedores web é
a SQL Injection. Trata-se da manipulação de uma instrução SQL através
das variáveis quem compõem os parâmetros recebidos por um script
server-side (que pode ser qualquer linguagem), no nosso caso PHP.

Principais tipo de ataque
• XSS
– Sua ação parte de um princípio simples, um código malicioso (inserido em
tempo de execução ou chamado a partir de outro local ou site) é executado
a fim de roubar informações ou enviar dados falsos servidor.

Como melhorar seus itens de
configuração?

Itens de configuração
• Por padrão o PHP exibe os erros é
recomendado quando colocar o sistema
em produção suprimir os erros.
Essas configurações podem ser alteradas no php.ini ou em tempo de execução
php.ini
display_errors = On
display_erros = Off

Itens de configuração
• Não permitir listagens de diretórios e
arquivos, quanto menos informações o
invasor tiver melhor.

Itens de configuração
• Não permitir listagens de diretórios e
arquivos, quanto menos informações o
invasor tiver melhor.
.htaccess
Options All -Indexes

Itens de configuração
• Não colocar nomes comuns para
arquivos e diretórios que contenham
informações importantes.

Itens de configuração
• Register Globals é melhor estar
desativado...
php.ini
register_globals = Off

Itens de configuração
• ...
Surtiria o mesmo efeito...

Itens de configuração
• Para não se preocupar em escapar
todas as entradas é só “ativar” o Magic
Quotes
php.ini
magic_quotes_gpc = On

Boas práticas
• Utilize se possível a versão mais nova
PHP.

Boas práticas
• Nunca confie no usuário, nunca confie no
usuário, todas as entradas devem ser filtradas
e todas as saídas deve sem escapadas.

Boas práticas
• Quando trabalhar com números em
querys SQL use filter_var() e casts.

Boas práticas
• Sempre que puder use o
session_regenerate_id(true), o ideal toda
vez que “startar” executar essa função.

Funcionamento da seção
• Como funciona a seção ???
sdWEDfds46346 – Logado – Pedro
dsfKJKJdfds342 - Logado - Maria
PC3 - null – Joãozinho
PC01 - sdWEDfds46346 - Pedro
PC02 – dsfKJKJdfds342 – Maria

Funcionamento da seção
• Após roubo dos dados da seção (XSS)...
sdWEDfds46346 – Logado – Pedro
dsfKJKJdfds342 - Logado - Maria
PC3 - sdWEDfds46346 –
Joãozinho
PC01 - sdWEDfds46346 - Pedro
PC02 – dsfKJKJdfds342 – Maria

Funcionamento da seção
• O que o session_regenerate_id(true)
faz?
sdWEDfds46346 – Logado – Pedro
kNFKLlldfs32sd – Logado – Pedro
PC3 - sdWEDfds46346 –
Joãozinho dsfKJKJdfds342 - Logado - Maria
PC01 – kNFKLlldfs32sd - Pedro
PC02 – dsfKJKJdfds342 – Maria

Boas práticas
• Mantenha um nível de usuários muito
bem projetado, não permitindo que
ninguém veja nada mais do que lhe é
permitido. Em muitos frameworks isso é
feito já, considere estudar um.
• ACL (Access Control Level)
– Zend
– Cake ...

Boas práticas
• Utilizar alguma ferramenta para
monitorar as possíveis vulnerabilidades
do sistema.
Scrawlr Ratproxy
WebInspect

Boas práticas
• Quando usar a função mail(), filtre e
valide para evitar uma injeção de
códigos nos headers.

Boas práticas
enviarEmail.php

Boas práticas
• Cuidado ao usar a função eval() a
função eval(), mesmo filtrando e
validando os dados, vai que descobrem
algum jeito de burlar... :P

Boas práticas
• Deixe seus arquivos de configurações
indisponíveis no webserver

Boas práticas
• Sabe aquele arquivo temporário que
você criou para testar alguma
funcionalidade? Então lembre-se de tirá-
lo depois.

Boas práticas
• Escolha um framework maduro que está
sempre sendo atualizado e tenha
certeza de sempre atualiza-lo.

Boas práticas
• Não use arquivos com extensão .inc*
nos arquivos que serão incluídos a não
ser que esteja configurado para ser
interpretado como php.
* ou qualquer tipo de arquivo que o servidor identifique como não interpretado.
Adicionar essa linha nas configurações do Apache
AddType application/x-httpd-php .inc

Boas práticas (nem tanto)

Boas práticas
• Quando você permitir o upload de
arquivos para o servidor, faça com filtros
e validações, não permita o upload de
arquivos .php, .htaccess entre outros.
Uma dica, use Fileinfo para fazer
validações no arquivo.

Boas práticas
• Se seu sistema precisa de uma
segurança a mais pense em adotar
https.

Boas práticas
• Formulários públicos use as famosas
letrinhas (Captcha)

Boas práticas
• Tenha sempre por perto referências de
como melhorar a segurança de seus
sistemas.
http://www.phpsec.org

Obrigado a todos
pela atenção!
Theoziran Lima
theoziran@gmail.com
theoziran.org
(83)8842-7653