TrabalhosGratuitos.com - Trabalhos, Monografias, Artigos, Exames, Resumos de livros, Dissertações
Pesquisar

Bolas

Tese: Bolas. Pesquise 859.000+ trabalhos acadêmicos

Por:   •  9/5/2013  •  Tese  •  528 Palavras (3 Páginas)  •  479 Visualizações

Página 1 de 3

<?php

$sql = "SELECT * FROM users WHERE user=$login AND pass=$senha";

?>

Ou seja as variáveis $login e $senha chegam direto no banco de dados sem nenhum tratamento ou o que pode acontecer.

Se o usuário digitar no login ou na senha OR "1=1", ou seja,

$user = a nada OR 1=1 -->passou

$senha = a nada OR 1=1 -->passou

e pode-se fazer muito mais....

Uma simples validação de senha e login evitaria isso, sendo este tipo de invasão muito comum e de responsabilidade do programador não do servidor de hospedagem.

4) (tipo de dados) Quarta regra: Sempre verificar e indicar a origem da variavel.

Exemplo:

$cod = $_GET["cod"] //tipo get

$cod = $_POST["cod"] //tipo post

$cod = $_SESSION["cod"] //tipo session

$cod = $_COOKIE["cod"] //tipo cookie

já que por padrão as versões superiores a 4.2 trazem a variável global desabilitada <?php

$sql = "SELECT * FROM users WHERE user=$login AND pass=$senha";

?>

Ou seja as variáveis $login e $senha chegam direto no banco de dados sem nenhum tratamento ou o que pode acontecer.

Se o usuário digitar no login ou na senha OR "1=1", ou seja,

$user = a nada OR 1=1 -->passou

$senha = a nada OR 1=1 -->passou

e pode-se fazer muito mais....

Uma simples validação de senha e login evitaria isso, sendo este tipo de invasão muito comum e de responsabilidade do programador não do servidor de hospedagem.

4) (tipo de dados) Quarta regra: Sempre verificar e indicar a origem da variavel.

Exemplo:

$cod = $_GET["cod"] //tipo get

$cod = $_POST["cod"] //tipo post

$cod = $_SESSION["cod"] //tipo session

$cod = $_COOKIE["cod"] //tipo cookie

já que por padrão as versões superiores a 4.2 trazem a variável global desabilitada

5) restrição de html htmlspecialchars.

Exemplo: um formulário padrão com campos abertos como de observação onde o usuário poderia colocar no lugar de simples texto um código html comum, um link de foto ou até um javascript malicioso.

Para impedir isso existe um tratamento importante com a função htmlspecialchars() (ver documentação do php) que transforma códigos html em simples códigos texto.

Obs. Teremos uma classe de validação de formulários com um método com esta função

...

Baixar como (para membros premium)  txt (3.2 Kb)  
Continuar por mais 2 páginas »
Disponível apenas no TrabalhosGratuitos.com