O grupo no qual você está postando é um grupo da Usenet. As mensagens postadas neste grupo farão com que o seu e-mail fique visível para qualquer pessoa na internet.
Na minha opinião quando trabalho com includes dinamicas eu sempre faço um verificação se o arquivo à ser incluido existe e não sofro este tipo de ameaças na web.
> Bom cara, seu sistema possui uma grave falha de segurança sim, mas ela > pode estar acontecendo ao mesmo tempo que uma falha de segurança no > seu servidor.
> Imagine seu servidor esteja com allow_url_fopen habilitado. Desta > forma eu poderia fazer um arquivo php no meu servidor e passar o > endereço dele para seu script via url (algo como > http://www.seusite.com/index.php?page=http://meusite.com/script_php_m...). > Se eu passar um texto puro com código php que abra seu arquivo e > apague o conteúdo, ele será executado normalmente.
> Isso só ocorre se allow_url_fopen estiver habilitado no php.ini e se > seu arquivo tiver permissão de escrita.
> Assim ele só vai incluir seu arquivo se ele contém apenas letras e > números e se ele realmente existe no seu diretório.
> Aconselho a tomar mais cuidado com seus sistemas, pois falhas como > estas podem comprometer todo seu sistema, haja visto que um usuário > malicioso pode, a partir das técnicas demonstradas acima, descobrir a > lista de arquivos no seu site e abrir aquele arquivo que contenha os > dados de acesso ao banco.
> Não sei se posso postar aqui capítulos de amostra de livros digitais. > Se puder, posso mandar para a lista um "Sample Chapter" de segurança > em PHP de um livro da Zend. Mas ele está em inglês.
> Bom, espero ter ajudado. > Até mais,
> On 24 mar, 10:30, "leogois" <camposgue...@gmail.com> wrote:
>> Pessoal,
>> Meus sinceros agradecimentos a todos que nesta lista se expressaram no >> intuito de discutir o tema neste grupo. >> Bem, quanto ao host, não sei se alguém conhece:www.targetbr.net
>> Valeu!
>> On 23 mar, 10:11, "Bruno Gross" <brunogr...@gmail.com> wrote:
>>> Sou atleta...isso reduz meu desempenho. Domingo tem competição. Vou >>> ser prejudicado em meu resultado final! rs
>>> On 23 mar, 10:08, "Daniel Freire" <daniel....@gmail.com> wrote:
>>>> Mta calma nessa hora, pessoal! Existem condições adversas pra saude do >>>> coracao, e a nossa profissao com certeza acentua tdo isso!!
>>>> enjoy, hj eh sexta!
>>>> []'s
>>>> Em 23/03/07, Flavinha <fjf...@gmail.com> escreveu:
>>>>> Isso coração!!! >>>>> E eu vou ignorar sua insignificância, pois o meu humor está ótimo, >>>>> obrigada! :) >>>>> Bom fim de semana pra ti também!
>>>>> On 3/23/07, Bruno Gross <brunogr...@gmail.com> wrote:
>>>>>> Flavia a lista é boa...no ápice de minha bestialidade vou ignorar seu >>>>>> mau humor . Cuidado com o colesterol hein! >>>>>> Hoje é sexta feira e eu to de bem com a vida e feliz como sempre. >>>>>> Não ataquei vc, só acho que falar que o cara fez mal feito e tal não >>>>>> vai ajudar ele. E eu to aqui pra ajudar...
>>>>>> Bom fim de semana :D
>>>>>> On 23 mar, 09:47, Flavinha <fjf...@gmail.com> wrote:
>>>>>>> Mas é mais fácil me atacar Carlos, vc esqueceu? >>>>>>> E eu que sou a xiita... fala sério... >>>>>>> cara, como me divirto com a bestialidade alheia..rsrsrs
>>>>>>> On 3/23/07, Carlos Junior <freec...@gmail.com> wrote:
>>>>>>>> Pessoal,
>>>>>>>> O que a Flavinha falou, foi simplesmente que ainda de atirar pedra
>>>>>> na
>>>>>>>> linguagem >>>>>>>> olhe se não tem erro, não que seja erro de programação, mas pode ser
>>>>>> um
>>>>>>>> servidor >>>>>>>> meia boca.
>>>>>>>> Não existe isso de sumir o conteudo e do nada voltar.
>>>>>>>> E concordo com o nosso amigo Bruno, falar que isso >>>>>>>> é falha do PHP está totalmente fora de questão.
>>>>>>>> Já vi codigos de upload de imagem que permitia até upload de arquivo
>>>>>> php
>>>>>>>> ée com isso ja viram tudo ne. Nem por isso é falha do PHP.Isso é
>>>>>> coisa
>>>>>>>> de programador iniciante mesmo.
>>>>>>>> Eu particulamente fico ligado sempre com PHP Injection e SQL
>>>>>> Injection
>>>>>>>> Sei que muitossssssss aqui ja usaram o famoso 'or'='' e suas
>>>>>> variantes,
>>>>>>>> e eu me pergunto, >>>>>>>> será falha de quem? Então galera ... é isso aí
>>>>>>>> Abs >>>>>>>> Carlos
>>>>>>>> On 3/22/07, Bruno Gross <brunogr...@gmail.com > wrote:
>>>>>>>>> rs
>>>>>>>>> On 22 mar, 16:46, "Daniel Freire" < daniel....@gmail.com> wrote:
>>>>>>>>>> normal, tem gente q tem um puta cerebro com um raciocinio e
>>>>>>>>> conhecimento tao
>>>>>>>>>> invejavel, uma inteligencia tao anormal que provavelmente eles
>>>>>> nao têm
>>>>>>>>>> paciencia com as duvidas que nos seres mortais temos.....
>>>>>>>>>> Em 22/03/07, Bruno Gross <brunogr...@gmail.com> escreveu:
>>>>>>>>>>> Não seja tão xiita...Apedrejar o cara não vai ajudá-lo,
>>>>>> fugindo da
>>>>>>>>>>> idéia da lista...
>>>>>>>>>>> On 22 mar, 13:27, Flavinha <fjf...@gmail.com> wrote:
>>>>>>>>>>>> PHP sempre culpado pelas coisas mal feitas por outros...afff
>>>>>>>>>>>> On 3/22/07, Gian - CPT <gian...@gmail.com> wrote:
>>>>>>>>>>>>> Isso ta mais pra peripécias do Apache do que para PHP....
>>>>>> nao
>>>>>>>>> faz
>>>>>>>>>>> muito
>>>>>>>>>>>>> sentido associar a linguagem utlizada ao fato, pois
>>>>>> realmente
>>>>>>>>> não tem
>>>>>>>>>>> muito
>>>>>>>>>>>>> a ver... :-)
>>>>>>>>>>>>> Em 22/03/07, leogois < camposgue...@gmail.com> escreveu:
>>>>>>>>>>>>>> Na realidade, não estou dando dicas. estou com um
>>>>>> problema de
>>>>>>>>>>>>>> segurança em meu site. Não ainda de quem é a culpa. >>>>>>>>>>>>>> Esclarecendo minha dúvida novamente: >>>>>>>>>>>>>> Coloquei um site com linguagem PHP. Logo, me deparei com
>>>>>> um
>>>>>>>>> grande
>>>>>>>>>>>>>> problema: simplesmente um belo dia fui acessar o site e
>>>>>> o
>>>>>>>>> código
>>>>>>>>>>>>>> fonte >>>>>>>>>>>>>> da página index havia sumido. Isso já ocorreu por três
>>>>>> vezes.
>>>>>>>>>>> Imagino
>>>>>>>>>>>>>> que, por alguma falha de segurança, alguém está
>>>>>> provocando
>>>>>>>>> isso.
>>>>>>>>>>>>>> Para esclarecer melhor como contruir meu site, destado o
Como pode perceber, ainda sou inciante em PHP. Mas, até então, sua resposta foi a mais técnica que apareceu. Fico muito grato pela sua contribuição.
P.S.: Na oportunidade ressalto que a sintaxe sugerida não funcionou em meu site. provavelmente deve está faltando um pequeno detalhe. Poderia analisar novamente.
Como já disse, utilizo esta sintaxe no local no conteúdo central da página index:
> Bom cara, seu sistema possui uma grave falha de segurança sim, mas ela > pode estar acontecendo ao mesmo tempo que uma falha de segurança no > seu servidor.
> Imagine seu servidor esteja com allow_url_fopen habilitado. Desta > forma eu poderia fazer um arquivo php no meu servidor e passar o > endereço dele para seu script via url (algo comohttp://www.seusite.com/index.php?page=http://meusite.com/script_php_m...). > Se eu passar um texto puro com código php que abra seu arquivo e > apague o conteúdo, ele será executado normalmente.
> Isso só ocorre se allow_url_fopen estiver habilitado no php.ini e se > seu arquivo tiver permissão de escrita.
> Assim ele só vai incluir seu arquivo se ele contém apenas letras e > números e se ele realmente existe no seu diretório.
> Aconselho a tomar mais cuidado com seus sistemas, pois falhas como > estas podem comprometer todo seu sistema, haja visto que um usuário > malicioso pode, a partir das técnicas demonstradas acima, descobrir a > lista de arquivos no seu site e abrir aquele arquivo que contenha os > dados de acesso ao banco.
> Não sei se posso postar aqui capítulos de amostra de livros digitais. > Se puder, posso mandar para a lista um "Sample Chapter" de segurança > em PHP de um livro da Zend. Mas ele está em inglês.
> Bom, espero ter ajudado. > Até mais,
> On 24 mar, 10:30, "leogois" <camposgue...@gmail.com> wrote:
> > Pessoal,
> > Meus sinceros agradecimentos a todos que nesta lista se expressaram no > > intuito de discutir o tema neste grupo. > > Bem, quanto ao host, não sei se alguém conhece:www.targetbr.net
> > Valeu!
> > On 23 mar, 10:11, "Bruno Gross" <brunogr...@gmail.com> wrote:
> > > Sou atleta...isso reduz meu desempenho. Domingo tem competição. Vou > > > ser prejudicado em meu resultado final! rs
> > > On 23 mar, 10:08, "Daniel Freire" <daniel....@gmail.com> wrote:
> > > > Mta calma nessa hora, pessoal! Existem condições adversas pra saude do > > > > coracao, e a nossa profissao com certeza acentua tdo isso!!
> > > > enjoy, hj eh sexta!
> > > > []'s
> > > > Em 23/03/07, Flavinha <fjf...@gmail.com> escreveu:
> > > > > Isso coração!!! > > > > > E eu vou ignorar sua insignificância, pois o meu humor está ótimo, > > > > > obrigada! :) > > > > > Bom fim de semana pra ti também!
> > > > > On 3/23/07, Bruno Gross <brunogr...@gmail.com> wrote:
> > > > > > Flavia a lista é boa...no ápice de minha bestialidade vou ignorar seu > > > > > > mau humor . Cuidado com o colesterol hein! > > > > > > Hoje é sexta feira e eu to de bem com a vida e feliz como sempre. > > > > > > Não ataquei vc, só acho que falar que o cara fez mal feito e tal não > > > > > > vai ajudar ele. E eu to aqui pra ajudar...
> > > > > > Bom fim de semana :D
> > > > > > On 23 mar, 09:47, Flavinha <fjf...@gmail.com> wrote: > > > > > > > Mas é mais fácil me atacar Carlos, vc esqueceu? > > > > > > > E eu que sou a xiita... fala sério... > > > > > > > cara, como me divirto com a bestialidade alheia..rsrsrs
> > > > > > > On 3/23/07, Carlos Junior <freec...@gmail.com> wrote:
> > > > > > > > Pessoal,
> > > > > > > > O que a Flavinha falou, foi simplesmente que ainda de atirar pedra > > > > > > na > > > > > > > > linguagem > > > > > > > > olhe se não tem erro, não que seja erro de programação, mas pode ser > > > > > > um > > > > > > > > servidor > > > > > > > > meia boca.
> > > > > > > > Não existe isso de sumir o conteudo e do nada voltar.
> > > > > > > > E concordo com o nosso amigo Bruno, falar que isso > > > > > > > > é falha do PHP está totalmente fora de questão.
> > > > > > > > Já vi codigos de upload de imagem que permitia até upload de arquivo > > > > > > php > > > > > > > > ée com isso ja viram tudo ne. Nem por isso é falha do PHP.Isso é > > > > > > coisa > > > > > > > > de programador iniciante mesmo.
> > > > > > > > Eu particulamente fico ligado sempre com PHP Injection e SQL > > > > > > Injection
> > > > > > > > Sei que muitossssssss aqui ja usaram o famoso 'or'='' e suas > > > > > > variantes, > > > > > > > > e eu me pergunto, > > > > > > > > será falha de quem? Então galera ... é isso aí
> > > > > > > > Abs > > > > > > > > Carlos
> > > > > > > > On 3/22/07, Bruno Gross <brunogr...@gmail.com > wrote:
> > > > > > > > > rs
> > > > > > > > > On 22 mar, 16:46, "Daniel Freire" < daniel....@gmail.com> wrote: > > > > > > > > > > normal, tem gente q tem um puta cerebro com um raciocinio e > > > > > > > > > conhecimento tao > > > > > > > > > > invejavel, uma inteligencia tao anormal que provavelmente eles > > > > > > nao têm > > > > > > > > > > paciencia com as duvidas que nos seres mortais temos.....
> > > > > > > > > > Em 22/03/07, Bruno Gross <brunogr...@gmail.com> escreveu:
> > > > > > > > > > > Não seja tão xiita...Apedrejar o cara não vai ajudá-lo, > > > > > > fugindo da > > > > > > > > > > > idéia da lista...
> > > > > > > > > > > On 22 mar, 13:27, Flavinha <fjf...@gmail.com> wrote: > > > > > > > > > > > > PHP sempre culpado pelas coisas mal feitas por outros...afff
> > > > > > > > > > > > On 3/22/07, Gian - CPT <gian...@gmail.com> wrote:
> > > > > > > > > > > > > Isso ta mais pra peripécias do Apache do que para PHP.... > > > > > > nao > > > > > > > > > faz > > > > > > > > > > > muito > > > > > > > > > > > > > sentido associar a linguagem utlizada ao fato, pois > > > > > > realmente > > > > > > > > > não tem > > > > > > > > > > > muito > > > > > > > > > > > > > a ver... :-)
> > > > > > > > > > > > > > Coloquei um código em php para que todas as páginas > > > > > > internas > > > > > > > > > abram > > > > > > > > > > > no > > > > > > > > > > > > > > meio do site, mantendo o resto co conteúdo intacto: > > > > > > topo, menu > > > > > > > > > e > > > > > > > > > > > > > > rodapé. Coloque o seguinte código no local onde inserir > > > > > > o > > > > > > > > > conteúdo > > > > > > > > > > > do > > > > > > > > > > > > > > centro do site: <?php if(isset($page)) { include > > > > > > > > > > > > > > ("$page.php"); }else{ include (" principal.php"); } ?>
> > > > > > > > > > > > > > Minha pergunta é: o que pode está acontendo com o meu > > > > > > site e o > > > > > > > > > que > > > > > > > > > > > > > > fazer para solucionar este problema?
> Como pode perceber, ainda sou inciante em PHP. Mas, até então, sua > resposta foi a mais técnica que apareceu. Fico muito grato pela sua > contribuição.
> P.S.: Na oportunidade ressalto que a sintaxe sugerida não funcionou em > meu site. provavelmente deve está faltando um pequeno detalhe. Poderia > analisar novamente.
> Como já disse, utilizo esta sintaxe no local no conteúdo central da > página index:
> Com esta sintaxe, consigo abrir todas as páginas internas mantendo o > mesmo loyout do site.
> On 25 mar, 19:04, "charlesschaefer" <charlesschae...@gmail.com> wrote: > > Bom cara, seu sistema possui uma grave falha de segurança sim, mas ela > > pode estar acontecendo ao mesmo tempo que uma falha de segurança no > > seu servidor.
> > Imagine seu servidor esteja com allow_url_fopen habilitado. Desta > > forma eu poderia fazer um arquivo php no meu servidor e passar o > > endereço dele para seu script via url (algo > comohttp://www.seusite.com/index.php?page= > http://meusite.com/script_php_m...). > > Se eu passar um texto puro com código php que abra seu arquivo e > > apague o conteúdo, ele será executado normalmente.
> > Isso só ocorre se allow_url_fopen estiver habilitado no php.ini e se > > seu arquivo tiver permissão de escrita.
> > Assim ele só vai incluir seu arquivo se ele contém apenas letras e > > números e se ele realmente existe no seu diretório.
> > Aconselho a tomar mais cuidado com seus sistemas, pois falhas como > > estas podem comprometer todo seu sistema, haja visto que um usuário > > malicioso pode, a partir das técnicas demonstradas acima, descobrir a > > lista de arquivos no seu site e abrir aquele arquivo que contenha os > > dados de acesso ao banco.
> > Não sei se posso postar aqui capítulos de amostra de livros digitais. > > Se puder, posso mandar para a lista um "Sample Chapter" de segurança > > em PHP de um livro da Zend. Mas ele está em inglês.
> > Bom, espero ter ajudado. > > Até mais,
> > On 24 mar, 10:30, "leogois" <camposgue...@gmail.com> wrote:
> > > Pessoal,
> > > Meus sinceros agradecimentos a todos que nesta lista se expressaram no > > > intuito de discutir o tema neste grupo. > > > Bem, quanto ao host, não sei se alguém conhece:www.targetbr.net
> > > Valeu!
> > > On 23 mar, 10:11, "Bruno Gross" <brunogr...@gmail.com> wrote:
> > > > Sou atleta...isso reduz meu desempenho. Domingo tem competição. Vou > > > > ser prejudicado em meu resultado final! rs
> > > > -- > > > > Bruno Gross > > > > Analista de Sistemaswww.brunogross.com
> > > > On 23 mar, 10:08, "Daniel Freire" <daniel....@gmail.com> wrote:
> > > > > Mta calma nessa hora, pessoal! Existem condições adversas pra > saude do > > > > > coracao, e a nossa profissao com certeza acentua tdo isso!!
> > > > > enjoy, hj eh sexta!
> > > > > []'s
> > > > > Em 23/03/07, Flavinha <fjf...@gmail.com> escreveu:
> > > > > > Isso coração!!! > > > > > > E eu vou ignorar sua insignificância, pois o meu humor está > ótimo, > > > > > > obrigada! :) > > > > > > Bom fim de semana pra ti também!
> > > > > > On 3/23/07, Bruno Gross <brunogr...@gmail.com> wrote:
> > > > > > > Flavia a lista é boa...no ápice de minha bestialidade vou > ignorar seu > > > > > > > mau humor . Cuidado com o colesterol hein! > > > > > > > Hoje é sexta feira e eu to de bem com a vida e feliz como > sempre. > > > > > > > Não ataquei vc, só acho que falar que o cara fez mal feito e > tal não > > > > > > > vai ajudar ele. E eu to aqui pra ajudar...
> > > > > > > Bom fim de semana :D
> > > > > > > On 23 mar, 09:47, Flavinha <fjf...@gmail.com> wrote: > > > > > > > > Mas é mais fácil me atacar Carlos, vc esqueceu? > > > > > > > > E eu que sou a xiita... fala sério... > > > > > > > > cara, como me divirto com a bestialidade alheia..rsrsrs
> > > > > > > > On 3/23/07, Carlos Junior <freec...@gmail.com> wrote:
> > > > > > > > > Pessoal,
> > > > > > > > > O que a Flavinha falou, foi simplesmente que ainda de > atirar pedra > > > > > > > na > > > > > > > > > linguagem > > > > > > > > > olhe se não tem erro, não que seja erro de programação, > mas pode ser > > > > > > > um > > > > > > > > > servidor > > > > > > > > > meia boca.
> > > > > > > > > Não existe isso de sumir o conteudo e do nada voltar.
> > > > > > > > > E concordo com o nosso amigo Bruno, falar que isso > > > > > > > > > é falha do PHP está totalmente fora de questão.
> > > > > > > > > Já vi codigos de upload de imagem que permitia até upload > de arquivo > > > > > > > php > > > > > > > > > ée com isso ja viram tudo ne. Nem por isso é falha do > PHP.Isso é > > > > > > > coisa > > > > > > > > > de programador iniciante mesmo.
> > > > > > > > > Eu particulamente fico ligado sempre com PHP Injection e > SQL > > > > > > > Injection
> > > > > > > > > Sei que muitossssssss aqui ja usaram o famoso 'or'='' e > suas > > > > > > > variantes, > > > > > > > > > e eu me pergunto, > > > > > > > > > será falha de quem? Então galera ... é isso aí
> > > > > > > > > Abs > > > > > > > > > Carlos
> > > > > > > > > On 3/22/07, Bruno Gross <brunogr...@gmail.com > wrote:
> > > > > > > > > > rs
> > > > > > > > > > On 22 mar, 16:46, "Daniel Freire" < daniel....@gmail.com> > wrote: > > > > > > > > > > > normal, tem gente q tem um puta cerebro com um > raciocinio e > > > > > > > > > > conhecimento tao > > > > > > > > > > > invejavel, uma inteligencia tao anormal que > provavelmente eles > > > > > > > nao têm > > > > > > > > > > > paciencia com as duvidas que nos seres mortais > temos.....
> > > > > > > > > > > Em 22/03/07, Bruno Gross <brunogr...@gmail.com> > escreveu:
> > > > > > > > > > > > Não seja tão xiita...Apedrejar o cara não vai > ajudá-lo, > > > > > > > fugindo da > > > > > > > > > > > > idéia da lista...
> > > > > > > > > > > > On 22 mar, 13:27, Flavinha <fjf...@gmail.com> wrote: > > > > > > > > > > > > > PHP sempre culpado pelas coisas mal feitas por > outros...afff
> > > > > > > > > > > > > On 3/22/07, Gian - CPT <gian...@gmail.com> wrote:
> > > > > > > > > > > > > > Isso ta mais pra peripécias do Apache do que > para PHP.... > > > > > > > nao > > > > > > > > > > faz > > > > > > > > > > > > muito > > > > > > > > > > > > > > sentido associar a linguagem utlizada ao fato, > pois > > > > > > > realmente > > > > > > > > > > não tem > > > > > > > > > > > > muito > > > > > > > > > > > > > > a ver... :-)
> ??? talvez o "hacker" esteja conseguindo fazer um inject no seu código!
> Em 26/03/07, leogois <camposgue...@gmail.com > escreveu:
> > Caro Charles,
> > Como pode perceber, ainda sou inciante em PHP. Mas, até então, sua > > resposta foi a mais técnica que apareceu. Fico muito grato pela sua > > contribuição.
> > P.S.: Na oportunidade ressalto que a sintaxe sugerida não funcionou em > > meu site. provavelmente deve está faltando um pequeno detalhe. Poderia > > analisar novamente.
> > Como já disse, utilizo esta sintaxe no local no conteúdo central da > > página index:
> > Com esta sintaxe, consigo abrir todas as páginas internas mantendo o > > mesmo loyout do site.
> > On 25 mar, 19:04, "charlesschaefer" < charlesschae...@gmail.com> wrote: > > > Bom cara, seu sistema possui uma grave falha de segurança sim, mas ela > > > pode estar acontecendo ao mesmo tempo que uma falha de segurança no > > > seu servidor.
> > > Imagine seu servidor esteja com allow_url_fopen habilitado. Desta > > > forma eu poderia fazer um arquivo php no meu servidor e passar o > > > endereço dele para seu script via url (algo > > comohttp://www.seusite.com/index.php?page= > > http://meusite.com/script_php_m...). > > > Se eu passar um texto puro com código php que abra seu arquivo e > > > apague o conteúdo, ele será executado normalmente.
> > > Isso só ocorre se allow_url_fopen estiver habilitado no php.ini e se > > > seu arquivo tiver permissão de escrita.
> > > Assim ele só vai incluir seu arquivo se ele contém apenas letras e > > > números e se ele realmente existe no seu diretório.
> > > Aconselho a tomar mais cuidado com seus sistemas, pois falhas como > > > estas podem comprometer todo seu sistema, haja visto que um usuário > > > malicioso pode, a partir das técnicas demonstradas acima, descobrir a > > > lista de arquivos no seu site e abrir aquele arquivo que contenha os > > > dados de acesso ao banco.
> > > Não sei se posso postar aqui capítulos de amostra de livros digitais. > > > Se puder, posso mandar para a lista um "Sample Chapter" de segurança > > > em PHP de um livro da Zend. Mas ele está em inglês.
> > > Bom, espero ter ajudado. > > > Até mais,
> > > On 24 mar, 10:30, "leogois" <camposgue...@gmail.com > wrote:
> > > > Pessoal,
> > > > Meus sinceros agradecimentos a todos que nesta lista se expressaram > > no > > > > intuito de discutir o tema neste grupo. > > > > Bem, quanto ao host, não sei se alguém conhece: www.targetbr.net
> > > > Valeu!
> > > > On 23 mar, 10:11, "Bruno Gross" <brunogr...@gmail.com> wrote:
> > > > > Sou atleta...isso reduz meu desempenho. Domingo tem competição. > > Vou > > > > > ser prejudicado em meu resultado final! rs
> > > > > > > Isso coração!!! > > > > > > > E eu vou ignorar sua insignificância, pois o meu humor está > > ótimo, > > > > > > > obrigada! :) > > > > > > > Bom fim de semana pra ti também!
> > > > > > > On 3/23/07, Bruno Gross < brunogr...@gmail.com> wrote:
> > > > > > > > Flavia a lista é boa...no ápice de minha bestialidade vou > > ignorar seu > > > > > > > > mau humor . Cuidado com o colesterol hein! > > > > > > > > Hoje é sexta feira e eu to de bem com a vida e feliz como > > sempre. > > > > > > > > Não ataquei vc, só acho que falar que o cara fez mal feito e > > tal não > > > > > > > > vai ajudar ele. E eu to aqui pra ajudar...
> > > > > > > > Bom fim de semana :D
> > > > > > > > On 23 mar, 09:47, Flavinha <fjf...@gmail.com> wrote: > > > > > > > > > Mas é mais fácil me atacar Carlos, vc esqueceu? > > > > > > > > > E eu que sou a xiita... fala sério... > > > > > > > > > cara, como me divirto com a bestialidade alheia..rsrsrs
> > > > > > > > > On 3/23/07, Carlos Junior < freec...@gmail.com> wrote:
> > > > > > > > > > Pessoal,
> > > > > > > > > > O que a Flavinha falou, foi simplesmente que ainda de > > atirar pedra > > > > > > > > na > > > > > > > > > > linguagem > > > > > > > > > > olhe se não tem erro, não que seja erro de programação, > > mas pode ser > > > > > > > > um > > > > > > > > > > servidor > > > > > > > > > > meia boca.
> > > > > > > > > > Não existe isso de sumir o conteudo e do nada voltar.
> > > > > > > > > > E concordo com o nosso amigo Bruno, falar que isso > > > > > > > > > > é falha do PHP está totalmente fora de questão.
> > > > > > > > > > Já vi codigos de upload de imagem que permitia até > > upload de arquivo > > > > > > > > php > > > > > > > > > > ée com isso ja viram tudo ne. Nem por isso é falha do > > PHP.Isso é > > > > > > > > coisa > > > > > > > > > > de programador iniciante mesmo.
> > > > > > > > > > Eu particulamente fico ligado sempre com PHP Injection e > > SQL > > > > > > > > Injection
> > > > > > > > > > Sei que muitossssssss aqui ja usaram o > > famoso 'or'='' e suas > > > > > > > > variantes, > > > > > > > > > > e eu me pergunto, > > > > > > > > > > será falha de quem? Então galera ... é isso aí
> Como pode perceber, ainda sou inciante em PHP. Mas, até então, sua > resposta foi a mais técnica que apareceu. Fico muito grato pela sua > contribuição.
> P.S.: Na oportunidade ressalto que a sintaxe sugerida não funcionou em > meu site. provavelmente deve está faltando um pequeno detalhe. Poderia > analisar novamente.
> Como já disse, utilizo esta sintaxe no local no conteúdo central da > página index:
> Com esta sintaxe, consigo abrir todas as páginas internas mantendo o > mesmo loyout do site.
> On 25 mar, 19:04, "charlesschaefer" <charlesschae...@gmail.com> wrote:
> > Bom cara, seu sistema possui uma grave falha de segurança sim, mas ela > > pode estar acontecendo ao mesmo tempo que uma falha de segurança no > > seu servidor.
> > Imagine seu servidor esteja com allow_url_fopen habilitado. Desta > > forma eu poderia fazer um arquivo php no meu servidor e passar o > > endereço dele para seu script via url (algo comohttp://www.seusite.com/index.php?page=http://meusite.com/script_php_m...). > > Se eu passar um texto puro com código php que abra seu arquivo e > > apague o conteúdo, ele será executado normalmente.
> > Isso só ocorre se allow_url_fopen estiver habilitado no php.ini e se > > seu arquivo tiver permissão de escrita.
> > Assim ele só vai incluir seu arquivo se ele contém apenas letras e > > números e se ele realmente existe no seu diretório.
> > Aconselho a tomar mais cuidado com seus sistemas, pois falhas como > > estas podem comprometer todo seu sistema, haja visto que um usuário > > malicioso pode, a partir das técnicas demonstradas acima, descobrir a > > lista de arquivos no seu site e abrir aquele arquivo que contenha os > > dados de acesso ao banco.
> > Não sei se posso postar aqui capítulos de amostra de livros digitais. > > Se puder, posso mandar para a lista um "Sample Chapter" de segurança > > em PHP de um livro da Zend. Mas ele está em inglês.
> > Bom, espero ter ajudado. > > Até mais,
> > On 24 mar, 10:30, "leogois" <camposgue...@gmail.com> wrote:
> > > Pessoal,
> > > Meus sinceros agradecimentos a todos que nesta lista se expressaram no > > > intuito de discutir o tema neste grupo. > > > Bem, quanto ao host, não sei se alguém conhece:www.targetbr.net
> > > Valeu!
> > > On 23 mar, 10:11, "Bruno Gross" <brunogr...@gmail.com> wrote:
> > > > Sou atleta...isso reduz meu desempenho. Domingo tem competição. Vou > > > > ser prejudicado em meu resultado final! rs
> > > > -- > > > > Bruno Gross > > > > Analista de Sistemaswww.brunogross.com
> > > > On 23 mar, 10:08, "Daniel Freire" <daniel....@gmail.com> wrote:
> > > > > Mta calma nessa hora, pessoal! Existem condições adversas pra saude do > > > > > coracao, e a nossa profissao com certeza acentua tdo isso!!
> > > > > enjoy, hj eh sexta!
> > > > > []'s
> > > > > Em 23/03/07, Flavinha <fjf...@gmail.com> escreveu:
> > > > > > Isso coração!!! > > > > > > E eu vou ignorar sua insignificância, pois o meu humor está ótimo, > > > > > > obrigada! :) > > > > > > Bom fim de semana pra ti também!
> > > > > > On 3/23/07, Bruno Gross <brunogr...@gmail.com> wrote:
> > > > > > > Flavia a lista é boa...no ápice de minha bestialidade vou ignorar seu > > > > > > > mau humor . Cuidado com o colesterol hein! > > > > > > > Hoje é sexta feira e eu to de bem com a vida e feliz como sempre. > > > > > > > Não ataquei vc, só acho que falar que o cara fez mal feito e tal não > > > > > > > vai ajudar ele. E eu to aqui pra ajudar...
> > > > > > > Bom fim de semana :D
> > > > > > > On 23 mar, 09:47, Flavinha <fjf...@gmail.com> wrote: > > > > > > > > Mas é mais fácil me atacar Carlos, vc esqueceu? > > > > > > > > E eu que sou a xiita... fala sério... > > > > > > > > cara, como me divirto com a bestialidade alheia..rsrsrs
> > > > > > > > On 3/23/07, Carlos Junior <freec...@gmail.com> wrote:
> > > > > > > > > Pessoal,
> > > > > > > > > O que a Flavinha falou, foi simplesmente que ainda de atirar pedra > > > > > > > na > > > > > > > > > linguagem > > > > > > > > > olhe se não tem erro, não que seja erro de programação, mas pode ser > > > > > > > um > > > > > > > > > servidor > > > > > > > > > meia boca.
> > > > > > > > > Não existe isso de sumir o conteudo e do nada voltar.
> > > > > > > > > E concordo com o nosso amigo Bruno, falar que isso > > > > > > > > > é falha do PHP está totalmente fora de questão.
> > > > > > > > > Já vi codigos de upload de imagem que permitia até upload de arquivo > > > > > > > php > > > > > > > > > ée com isso ja viram tudo ne. Nem por isso é falha do PHP.Isso é > > > > > > > coisa > > > > > > > > > de programador iniciante mesmo.
> > > > > > > > > Eu particulamente fico ligado sempre com PHP Injection e SQL > > > > > > > Injection
> > > > > > > > > Sei que muitossssssss aqui ja usaram o famoso 'or'='' e suas > > > > > > > variantes, > > > > > > > > > e eu me pergunto, > > > > > > > > > será falha de quem? Então galera ... é isso aí
> > > > > > > > > Abs > > > > > > > > > Carlos
> > > > > > > > > On 3/22/07, Bruno Gross <brunogr...@gmail.com > wrote:
> > > > > > > > > > rs
> > > > > > > > > > On 22 mar, 16:46, "Daniel Freire" < daniel....@gmail.com> wrote: > > > > > > > > > > > normal, tem gente q tem um puta cerebro com um raciocinio e > > > > > > > > > > conhecimento tao > > > > > > > > > > > invejavel, uma inteligencia tao anormal que provavelmente eles > > > > > > > nao têm > > > > > > > > > > > paciencia com as duvidas que nos seres mortais temos.....
> > > > > > > > > > > Em 22/03/07, Bruno Gross <brunogr...@gmail.com> escreveu:
> > > > > > > > > > > > Não seja tão xiita...Apedrejar o cara não vai ajudá-lo, > > > > > > > fugindo da > > > > > > > > > > > > idéia da lista...
> > > > > > > > > > > > On 22 mar, 13:27, Flavinha <fjf...@gmail.com> wrote: > > > > > > > > > > > > > PHP sempre culpado pelas coisas mal feitas por outros...afff
> > > > > > > > > > > > > On 3/22/07, Gian - CPT <gian...@gmail.com> wrote:
> > > > > > > > > > > > > > Isso ta mais pra peripécias do Apache do que para PHP.... > > > > > > > nao > > > > > > > > > > faz > > > > > > > > > > > > muito > > > > > > > > > > > > > > sentido associar a linguagem utlizada ao fato, pois > > > > > > > realmente > > > > > > > > > > não tem > > > > > > > > > > > > muito > > > > > > > > > > > > > > a ver... :-)
> qual foi o erro reportado pelo php utilizando da forma que te passei? > Se não der erro algum, coloque a seguinte linha no início do seu > script:
> error_reporting(E_ALL);
> e veja, então, o erro.
> Veja também se seu servidor está com a biblioteca ctype instalada, ou > remova a verificação de tipos de dados do código que te passei.
> Até mais,
> On 26 mar, 10:12, "leogois" <camposgue...@gmail.com> wrote:
> > Caro Charles,
> > Como pode perceber, ainda sou inciante em PHP. Mas, até então, sua > > resposta foi a mais técnica que apareceu. Fico muito grato pela sua > > contribuição.
> > P.S.: Na oportunidade ressalto que a sintaxe sugerida não funcionou em > > meu site. provavelmente deve está faltando um pequeno detalhe. Poderia > > analisar novamente.
> > Como já disse, utilizo esta sintaxe no local no conteúdo central da > > página index:
> > Com esta sintaxe, consigo abrir todas as páginas internas mantendo o > > mesmo loyout do site.
> > On 25 mar, 19:04, "charlesschaefer" <charlesschae...@gmail.com> wrote:
> > > Bom cara, seu sistema possui uma grave falha de segurança sim, mas ela > > > pode estar acontecendo ao mesmo tempo que uma falha de segurança no > > > seu servidor.
> > > Imagine seu servidor esteja com allow_url_fopen habilitado. Desta > > > forma eu poderia fazer um arquivo php no meu servidor e passar o > > > endereço dele para seu script via url (algo comohttp://www.seusite.com/index.php?page=http://meusite.com/script_php_m...). > > > Se eu passar um texto puro com código php que abra seu arquivo e > > > apague o conteúdo, ele será executado normalmente.
> > > Isso só ocorre se allow_url_fopen estiver habilitado no php.ini e se > > > seu arquivo tiver permissão de escrita.
> > > Assim ele só vai incluir seu arquivo se ele contém apenas letras e > > > números e se ele realmente existe no seu diretório.
> > > Aconselho a tomar mais cuidado com seus sistemas, pois falhas como > > > estas podem comprometer todo seu sistema, haja visto que um usuário > > > malicioso pode, a partir das técnicas demonstradas acima, descobrir a > > > lista de arquivos no seu site e abrir aquele arquivo que contenha os > > > dados de acesso ao banco.
> > > Não sei se posso postar aqui capítulos de amostra de livros digitais. > > > Se puder, posso mandar para a lista um "Sample Chapter" de segurança > > > em PHP de um livro da Zend. Mas ele está em inglês.
> > > Bom, espero ter ajudado. > > > Até mais,
> > > On 24 mar, 10:30, "leogois" <camposgue...@gmail.com> wrote:
> > > > Pessoal,
> > > > Meus sinceros agradecimentos a todos que nesta lista se expressaram no > > > > intuito de discutir o tema neste grupo. > > > > Bem, quanto ao host, não sei se alguém conhece:www.targetbr.net
> > > > Valeu!
> > > > On 23 mar, 10:11, "Bruno Gross" <brunogr...@gmail.com> wrote:
> > > > > Sou atleta...isso reduz meu desempenho. Domingo tem competição. Vou > > > > > ser prejudicado em meu resultado final! rs
> > > > > > > Isso coração!!! > > > > > > > E eu vou ignorar sua insignificância, pois o meu humor está ótimo, > > > > > > > obrigada! :) > > > > > > > Bom fim de semana pra ti também!
> > > > > > > On 3/23/07, Bruno Gross <brunogr...@gmail.com> wrote:
> > > > > > > > Flavia a lista é boa...no ápice de minha bestialidade vou ignorar seu > > > > > > > > mau humor . Cuidado com o colesterol hein! > > > > > > > > Hoje é sexta feira e eu to de bem com a vida e feliz como sempre. > > > > > > > > Não ataquei vc, só acho que falar que o cara fez mal feito e tal não > > > > > > > > vai ajudar ele. E eu to aqui pra ajudar...
> > > > > > > > Bom fim de semana :D
> > > > > > > > On 23 mar, 09:47, Flavinha <fjf...@gmail.com> wrote: > > > > > > > > > Mas é mais fácil me atacar Carlos, vc esqueceu? > > > > > > > > > E eu que sou a xiita... fala sério... > > > > > > > > > cara, como me divirto com a bestialidade alheia..rsrsrs
> > > > > > > > > On 3/23/07, Carlos Junior <freec...@gmail.com> wrote:
> > > > > > > > > > Pessoal,
> > > > > > > > > > O que a Flavinha falou, foi simplesmente que ainda de atirar pedra > > > > > > > > na > > > > > > > > > > linguagem > > > > > > > > > > olhe se não tem erro, não que seja erro de programação, mas pode ser > > > > > > > > um > > > > > > > > > > servidor > > > > > > > > > > meia boca.
> > > > > > > > > > Não existe isso de sumir o conteudo e do nada voltar.
> > > > > > > > > > E concordo com o nosso amigo Bruno, falar que isso > > > > > > > > > > é falha do PHP está totalmente fora de questão.
> > > > > > > > > > Já vi codigos de upload de imagem que permitia até upload de arquivo > > > > > > > > php > > > > > > > > > > ée com isso ja viram tudo ne. Nem por isso é falha do PHP.Isso é > > > > > > > > coisa > > > > > > > > > > de programador iniciante mesmo.
> > > > > > > > > > Eu particulamente fico ligado sempre com PHP Injection e SQL > > > > > > > > Injection
> > > > > > > > > > Sei que muitossssssss aqui ja usaram o famoso 'or'='' e suas > > > > > > > > variantes, > > > > > > > > > > e eu me pergunto, > > > > > > > > > > será falha de quem? Então galera ... é isso aí
|
