Aplicativos em PHP/Apêndices/Segurança: diferenças entre revisões

[edição não verificada][edição não verificada]
Conteúdo apagado Conteúdo adicionado
+Cat
Ribafs (discussão | contribs)
Sem resumo de edição
Linha 5:
 
 
'''<h2>1 - Senhas'''</h2>
 
Ataques contra senhas normalmente usam o método da força bruta (brute force), portanto evite senhas simples e que constem de dicionários.
Linha 30:
 
 
'''<h2>2 - Informações'''</h2>
 
'''Cuidado com o Acesso em Lan houses'''
Linha 52:
 
 
'''<h2>3 - Código'''</h2>
 
- Ofereça uma quantidade fixa (3) de tentativas de login. Após as 3 o login deve ser desabilitado, por segurança.
Linha 163:
 
 
- <h2>Não ConfirConfiar em Variáveis Globais</h2>
 
 
Linha 209:
 
 
'''Possíveis Correções e Melhorias'''
 
 
Linha 221:
 
 
<h2>Evite Falsos Uploads</h2>
 
 
Linha 233:
 
 
<h2>Idéias Adicionais</h2>
 
 
Linha 255:
 
'''Outro exemplo do mesmo site:'''
 
<?php
Linha 305:
 
<h2>Não armazene números de cartões de crédito.</h2>
 
Force senhas seguras. No mínimo exija senhas com 8 caracteres de tamanho e que contenham algum caractere não alfanumérico.
Linha 360:
}
?>
 
 
Example
Linha 381 ⟶ 382:
 
 
<h2>Não insira Conteúdo Sigiloso no raiz do Aplicativo</h2>
 
Imagens de proteção de senha, documentos e outras imagens devem ficar fora do raiz do aplicativo.
 
 
Alternativamente armazene no banco de dados.
Linha 390 ⟶ 392:
 
 
'''<h2>Muita atenção aos Serviços de Hospedagem'''</h2>
 
Estes servidores compartilham suas máquinas com diversos usuários, que têm acesso aos arquivos. Como também podem criar um arquivo de session (que armazena em /tmp por default), que pode conter maliciosos users e senhas para bypassar sua autenticação.
Linha 398 ⟶ 400:
 
 
'''Idealmente use um servidor dedicado ao invés.'''
 
 
Linha 415 ⟶ 417:
 
 
<h2>Evite ao máximo as funções:</h2>
 
- eval
Linha 432 ⟶ 434:
 
 
 
<h2>Além do Código (Um projeto de segurança forte)</h2>
 
 
Linha 450 ⟶ 453:
 
 
- <h2>Nunca inclua, requeira ou abra um arquivo cujo nome seja baseado em entrada do usuário, sem antes checar.</h2>
 
 
Linha 464 ⟶ 467:
 
 
- <h2>Nunca execute consultas a bancos sem usar funções de escape.</h2>
 
 
Linha 564 ⟶ 567:
 
 
# <h2>Restringe o diretório admin para utilizar senhas</h2>
 
<Directory /admin>
Linha 584 ⟶ 587:
 
 
'''<h2>Prevenindo Injeções SQL'''</h2>
 
Uma Função para prevenir tais injeções.
Linha 645 ⟶ 648:
 
 
[http://www.vivaolinux.com.br/dicas/verDica.php?codigo=8706 - Recuperando dados e fotos de câmeras digitais e pen drives]
'''Referências:'''
 
 
'''<h2>Referências:'''</h2>
 
1 – http://www.onlamp.com/lpt/a/3305 - Ten Security Checks for PHP