Mensagem sobre o tópico
falhas de segurança em PHP (index sumindo)
Received: by 10.36.33.8 with SMTP id g8mr658887nzg.1174580686786;
Thu, 22 Mar 2007 09:24:46 -0700 (PDT)
Return-Path: <gian...@gmail.com>
Received: from an-out-0708.google.com (an-out-0708.google.com [209.85.132.242])
by mx.google.com with ESMTP id y6si1341772nzg.2007.03.22.09.24.46;
Thu, 22 Mar 2007 09:24:46 -0700 (PDT)
Received-SPF: pass (google.com: domain of gian...@gmail.com designates 209.85.132.242 as permitted sender)
DomainKey-Status: good (test mode)
Received: by an-out-0708.google.com with SMTP id c38so708033ana
for <listaphp@googlegroups.com>; Thu, 22 Mar 2007 09:24:46 -0700 (PDT)
DKIM-Signature: a=rsa-sha1; c=relaxed/relaxed;
d=gmail.com; s=beta;
h=domainkey-signature:received:received:message-id:date:from:to:subject:in-reply-to:mime-version:content-type:references;
b=kj3r0VEwvyVbnForddiHTstnxsWb+8pEgk9EfN32yLOFkBeUEEgvQReTThIuYnctVQDIBGoUjs3rkzklKYA6fpA7QiK3wXKiuwuOrdq8M5Xy3vV9tiGxz9re9RLH2eRM72JzOzlkKSJ9aKtSyFwxA9knfzNu/OfxsUAbOBBpCRo=
DomainKey-Signature: a=rsa-sha1; c=nofws;
d=gmail.com; s=beta;
h=received:message-id:date:from:to:subject:in-reply-to:mime-version:content-type:references;
b=aeMviJIqToO2cGVattaS/3+aLFpvcdHA0O9PjsmcyLaDv4Oj1+ATAswldJZWvF4bX990JVloLXswgZo/v8ka9muiThmBDZz51LrYE/AflLnePS+Uf1NmGgbwVJNFQddH0RURpVHmMMAfsk1GutpU3ZId96gZ6c9lL2lI9XbRni0=
Received: by 10.100.197.15 with SMTP id u15mr1704182anf.1174580685917;
Thu, 22 Mar 2007 09:24:45 -0700 (PDT)
Received: by 10.100.137.10 with HTTP; Thu, 22 Mar 2007 09:24:45 -0700 (PDT)
Message-ID: <ddd7c2a90703220924m2145c90s5ffd0a26d4daaa23@mail.gmail.com>
Date: Thu, 22 Mar 2007 13:24:45 -0300
From: "Gian - CPT" <gian...@gmail.com>
To: listaphp@googlegroups.com
Subject: =?ISO-8859-1?Q?Re:_[_PHP_-_Google_]_Re:_falhas_d?= =?ISO-8859-1?Q?e_seguran=E7a_em_PHP_(index_sumindo)?=
In-Reply-To: <1174580000.248567.96520@p15g2000hsd.googlegroups.com>
Mime-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_Part_157774_5667586.1174580685846"
References: <1174572395.021431.180...@y80g2000hsf.googlegroups.com>
<1174575688.711373.200...@e65g2000hsc.googlegroups.com>
<1174576030.314371.87...@l77g2000hsb.googlegroups.com>
<1174580000.248567.96...@p15g2000hsd.googlegroups.com>
------=_Part_157774_5667586.1174580685846
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Isso ta mais pra perip=E9cias do Apache do que para PHP.... nao faz muito
sentido associar a linguagem utlizada ao fato, pois realmente n=E3o tem muit=
o
a ver... :-)
Em 22/03/07, leogois <camposgue...@gmail.com> escreveu:
>
>
> Na realidade, n=E3o estou dando dicas. estou com um problema de
> seguran=E7a em meu site. N=E3o ainda de quem =E9 a culpa.
> Esclarecendo minha d=FAvida novamente:
> Coloquei um site com linguagem PHP. Logo, me deparei com um grande
> problema: simplesmente um belo dia fui acessar o site e o c=F3digo
> fonte
> da p=E1gina index havia sumido. Isso j=E1 ocorreu por tr=EAs vezes. Imagin=
o
> que, por alguma falha de seguran=E7a, algu=E9m est=E1 provocando isso.
>
>
> Para esclarecer melhor como contruir meu site, destado o seguinte:
> arquivo index: index.php
> p=E1ginas internas: nome.php
>
>
> Aparece no browser: Ex.: http://www.meusite.com/index.php?page=3Dartigos
>
>
> Coloquei um c=F3digo em php para que todas as p=E1ginas internas abram no
> meio do site, mantendo o resto co conte=FAdo intacto: topo, menu e
> rodap=E9. Coloque o seguinte c=F3digo no local onde inserir o conte=FAdo d=
o
> centro do site: <?php if(isset($page)) { include
> ("$page.php"); }else{ include ("principal.php"); } ?>
>
>
> Minha pergunta =E9: o que pode est=E1 acontendo com o meu site e o que
> fazer para solucionar este problema?
>
>
>
> On 22 mar, 12:07, "Bruno Gross" <brunogr...@gmail.com> wrote:
> > Outra:
> >
> > N=E3o diga que isso =E9 falha deseguran=E7ado PHP pois n=E3o =E9! Ou a f=
alha =E9
> > sua ou =E9 da hospedagem...
> >
> > On 22 mar, 12:01, "Bruno Gross" <brunogr...@gmail.com> wrote:
> >
> >
> >
> > > N=E3o entendi bem tudo que vc escreveu, se vale de dica ou de d=FAvida=
.
> > > Mas ressalto que se sua p=E1gina sumiu e vc toma esses cuidados que vc
> > > citou, liga pro suporte de sua hospedagem e xinga, desde a faxineira
> > > deles at=E9 o Papa!
> >
> > > Quanto ao Path aparecer no topo do site, n=E3o vejo grandes problemas
> > > nisso. Solu=E7=F5es como a sua n=E3o s=E3o a galinha dos ovos de ouro =
a
> > > respeito deseguran=E7a. Ainda fico com a op=E7=E3o de problemas com a
> > > hospedagem. Arquivos n=E3o somem dessa forma, nem c=F3digo, nem porcar=
ia
> > > nenhuma!
> >
> > > Muito estranho isso...
> >
> > > On 22 mar, 11:06, "leogois" <camposgue...@gmail.com> wrote:
> >
> > > > Pessoal,
> >
> > > > Coloquei um site com linguagem PHP. Logo, me deparei com um grande
> > > > problema: simplesmente um belo dia fui acessar o site e o c=F3digo
> fonte
> > > > da p=E1gina index havia sumido. Isso j=E1 ocorreu por tr=EAs vezes.
> Imagino
> > > > que, por alguma falha deseguran=E7a, algu=E9m est=E1 provocando isso=
.
> >
> > > > Para esclarecer melhor como contruir meu site, destado o seguinte:
> > > > arquivo index: index.php
> > > > p=E1ginas internas: nome.php
> >
> > > > Aparece no browser: Ex.:
> http://www.meusite.com/index.php?page=3Dartigos
> >
> > > > Coloquei um c=F3digo em php para que todas as p=E1ginas internas abr=
am
> no
> > > > meio do site, mantendo o resto co conte=FAdo intacto: topo, menu e
> > > > rodap=E9. Coloque o seguinte c=F3digo no local onde inserir o conte=
=FAdo
> do
> > > > centro do site: <?php if(isset($page)) { include
> > > > ("$page.php"); }else{ include ("principal.php"); } ?>
> >
> > > > Minha pergunta =E9: o que pode est=E1 acontendo com o meu site e o q=
ue
> > > > fazer para solucionar este problema?
> > > > De acordo uma pesquisa que fiz, encontrei o c=F3digo abaixo que tarv=
ez
> > > > contenha a solu=E7=E3o. Mas, como inserir em minha p=E1gina substitu=
indo o
> > > > c=F3digo atual?
> >
> > > > "Um m=E9todo seguro de incluir arquivos seria como o abaixo:
> >
> > > > <?php
> > > > //cabe=E7alho do site
> > > > $page =3D $_GET['page'];
> > > > //para ter certeza que $page =E9 alfanum=E9rico.
> > > > if(eregi("^[a-z0-9\-_\.]+$", $page, $regs)) {
> > > > $dir =3D "includes/"; //pode ser branco
> > > > $ext =3D ".php"; //.php, .html, .txt, whatever
> > > > if(file_exists($dir . $page . $ext)) {
> > > > include($dir . $page . $ext); //ou outro tipo de extens=E3o =
se
> > > > n=E3o for necessariamente um arquivo .php
> > > > } else {
> > > > echo '404 - Not Found'; //ou algo similar
> > > > }} else {
> >
> > > > echo 'Naughty Naughty, very Naughty.'; /rodap=E9 do site}
> >
> > > > ?>
> >
> > > > Ent=E3o o link: index.php?page=3Dabout (assumiria about.php dentro d=
o
> > > > diret=F3rio 'includes').
> >
> > > > Se voc=EA sabe que o arquivo que ser=E1 inclu=EDdo n=E3o conte c=F3d=
igo PHP e
> > > > sim apenas texto, ent=E3o pode ser melhor usar readfile() ao inv=E9s=
de
> > > > include()/require(), pois ambos ir=E3o executar qualquer c=F3digo PH=
P
> que
> > > > eles encontrarem algo que o readifle n=E3o ir=E1.
> >
> > > > Usando um diret=F3rio separado para incluir arquivos, pode ser =F3ti=
mo
> > > > como uma forma de parar urls do tipo: "includes/http://blah.com/
> > > > lala.txt" que n=E3o ir=E1 funcionar. Isso n=E3o =E9 realmente necess=
=E1rio se
> um
> > > > utilizar um ereg como filtro nas urls.
> >
> > > > Algumas pessoas nomeiam os arquivos que ser=E3o inclu=EDdos com a
> extens=E3o
> > > > '.inc', isso =E9 muito perigoso, pois .'inc' n=E3o =E9 interpretado =
como
> um
> > > > c=F3digo PHP pelo Web server e ser=E1 visualiz=E1vel no navegador co=
mo um
> > > > texto na pagina. Isso parece algo banal, mas infelizmente muitos
> usam
> > > > arquivos do tipo 'config.inc' que contem senhas de banco de dados
> etc,
> > > > algo que torna o sistema muito inseguro...
> >
> > > > Arquivos que ser=E3o inclu=EDdos devem ter a extens=E3o .php, pode s=
er
> > > > exemplo.inc.php se voc=EA realmente quer que o nome contenha '.inc',
> > > > algo que eu acho desnecess=E1rio.
> >
> > > > Voc=EA deve mant=EA-los fora do diret=F3rio root por uma pequena que=
st=E3o
> > > > adicional deseguran=E7a."- Ocultar texto entre aspas -
> >
> > - Mostrar texto entre aspas -
>
>
> >
>
--=20
Giancarlo Santos
Desenvolvedor Web
gian...@gmail.com
------=_Part_157774_5667586.1174580685846
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Isso ta mais pra perip=E9cias do Apache do que para PHP.... nao faz muito se=
ntido associar a linguagem utlizada ao fato, pois realmente n=E3o tem muito =
a ver... :-)<br><br><br><div><span class=3D"gmail_quote">Em 22/03/07, <b cla=
ss=3D"gmail_sendername">
leogois</b> <<a href=3D"mailto:camposgue...@gmail.com">camposguedes@gmail=
.com</a>> escreveu:</span><blockquote class=3D"gmail_quote" style=3D"bord=
er-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-le=
ft: 1ex;">
<br>Na realidade, n=E3o estou dando dicas. estou com um problema de<br>segur=
an=E7a em meu site. N=E3o ainda de quem =E9 a culpa.<br>Esclarecendo minha d=
=FAvida novamente:<br>Coloquei um site com linguagem PHP. Logo, me deparei c=
om um grande
<br>problema: simplesmente um belo dia fui acessar o site e o c=F3digo<br>fo=
nte<br>da p=E1gina index havia sumido. Isso j=E1 ocorreu por tr=EAs vezes. I=
magino<br>que, por alguma falha de seguran=E7a, algu=E9m est=E1 provocando i=
sso.<br>
<br><br>Para esclarecer melhor como contruir meu site, destado o seguinte:<b=
r> arquivo index: index.php<br>p=E1ginas internas: nome.php<br><br><br>Apare=
ce no browser: Ex.: <a href=3D"http://www.meusite.com/index.php?page=3Dartig=
os">
http://www.meusite.com/index.php?page=3Dartigos</a><br><br><br>Coloquei um c=
=F3digo em php para que todas as p=E1ginas internas abram no<br>meio do site=
, mantendo o resto co conte=FAdo intacto: topo, menu e<br>rodap=E9. Coloque =
o seguinte c=F3digo no local onde inserir o conte=FAdo do
<br>centro do site: <?php if(isset($page)) { include<br>("$page.php&=
quot;); }else{ include ("principal.php"); } ?><br><br><br>Minha=
pergunta =E9: o que pode est=E1 acontendo com o meu site e o que<br>fazer p=
ara solucionar este problema?
<br><br><br><br>On 22 mar, 12:07, "Bruno Gross" <<a href=3D"mai=
lto:brunogr...@gmail.com">brunogr...@gmail.com</a>> wrote:<br>> Outra:=
<br>><br>> N=E3o diga que isso =E9 falha deseguran=E7ado PHP pois n=E3=
o =E9! Ou a falha =E9
<br>> sua ou =E9 da hospedagem...<br>><br>> On 22 mar, 12:01, "=
;Bruno Gross" <<a href=3D"mailto:brunogr...@gmail.com">brunogr...@gm=
ail.com</a>> wrote:<br>><br>><br>><br>> > N=E3o entendi be=
m tudo que vc escreveu, se vale de dica ou de d=FAvida.
<br>> > Mas ressalto que se sua p=E1gina sumiu e vc toma esses cuidado=
s que vc<br>> > citou, liga pro suporte de sua hospedagem e xinga, des=
de a faxineira<br>> > deles at=E9 o Papa!<br>><br>> > Quanto =
ao Path aparecer no topo do site, n=E3o vejo grandes problemas
<br>> > nisso. Solu=E7=F5es como a sua n=E3o s=E3o a galinha dos ovos =
de ouro a<br>> > respeito deseguran=E7a. Ainda fico com a op=E7=E3o de=
problemas com a<br>> > hospedagem. Arquivos n=E3o somem dessa forma, =
nem c=F3digo, nem porcaria
<br>> > nenhuma!<br>><br>> > Muito estranho isso...<br>><b=
r>> > On 22 mar, 11:06, "leogois" <<a href=3D"mailto:camp=
osgue...@gmail.com">camposgue...@gmail.com</a>> wrote:<br>><br>> &g=
t; > Pessoal,
<br>><br>> > > Coloquei um site com linguagem PHP. Logo, me depa=
rei com um grande<br>> > > problema: simplesmente um belo dia fui a=
cessar o site e o c=F3digo fonte<br>> > > da p=E1gina index havia s=
umido. Isso j=E1 ocorreu por tr=EAs vezes. Imagino
<br>> > > que, por alguma falha deseguran=E7a, algu=E9m est=E1 prov=
ocando isso.<br>><br>> > > Para esclarecer melhor como contruir =
meu site, destado o seguinte:<br>> > > arquivo index: in=
dex.php<br>
> > > p=E1ginas internas: nome.php<br>><br>> > > Aparec=
e no browser: Ex.:<a href=3D"http://www.meusite.com/index.php?page=3Dartigos=
">http://www.meusite.com/index.php?page=3Dartigos</a><br>><br>> > &=
gt; Coloquei um c=F3digo em php para que todas as p=E1ginas internas abram n=
o
<br>> > > meio do site, mantendo o resto co conte=FAdo intacto: top=
o, menu e<br>> > > rodap=E9. Coloque o seguinte c=F3digo no local o=
nde inserir o conte=FAdo do<br>> > > centro do site: <?php if(is=
set($page)) { include
<br>> > > ("$page.php"); }else{ include ("principal.=
php"); } ?><br>><br>> > > Minha pergunta =E9: o que pode=
est=E1 acontendo com o meu site e o que<br>> > > fazer para soluci=
onar este problema?
<br>> > > De acordo uma pesquisa que fiz, encontrei o c=F3digo abai=
xo que tarvez<br>> > > contenha a solu=E7=E3o. Mas, como inserir em=
minha p=E1gina substituindo o<br>> > > c=F3digo atual?<br>><br>=
> > > "Um m=E9todo seguro de incluir arquivos seria como o aba=
ixo:
<br>><br>> > > <?php<br>> > > //cabe=E7alho do site<=
br>> > > $page =3D $_GET['page'];<br>> > > //para =
ter certeza que $page =E9 alfanum=E9rico.<br>> > > if(eregi("^=
[a-z0-9\-_\.]+$", $page, $regs)) {
<br>> > > $dir =3D "includes/"; /=
/pode ser branco<br>> > > $ext =3D ".p=
hp"; //.php, .html, .txt, whatever<br>> > > &=
nbsp; if(file_exists($dir . $page . $ext)) {<br>> > > &n=
bsp; include($dir . $page . $ext); //ou outro =
tipo de extens=E3o se
<br>> > > n=E3o for necessariamente um arquivo .php<br>> > &g=
t; } else {<br>> > >  =
; echo '404 - Not Found'; //ou algo similar<=
br>> > > }} else {<br>><br>> > >=
; echo 'Naughty Naughty, very Naughty.'; /ro=
dap=E9 do site}
<br>><br>> > > ?><br>><br>> > > Ent=E3o o link: i=
ndex.php?page=3Dabout (assumiria about.php dentro do<br>> > > diret=
=F3rio 'includes').<br>><br>> > > Se voc=EA sabe que o a=
rquivo que ser=E1 inclu=EDdo n=E3o conte c=F3digo PHP e
<br>> > > sim apenas texto, ent=E3o pode ser melhor usar readfile()=
ao inv=E9s de<br>> > > include()/require(), pois ambos ir=E3o exec=
utar qualquer c=F3digo PHP que<br>> > > eles encontrarem algo que o=
readifle n=E3o ir=E1.
<br>><br>> > > Usando um diret=F3rio separado para incluir arqui=
vos, pode ser =F3timo<br>> > > como uma forma de parar urls do tipo=
: "includes/http://blah.com/<br>> > > lala.txt" que n=E3o=
ir=E1 funcionar. Isso n=E3o =E9 realmente necess=E1rio se um
<br>> > > utilizar um ereg como filtro nas urls.<br>><br>> &g=
t; > Algumas pessoas nomeiam os arquivos que ser=E3o inclu=EDdos com a ex=
tens=E3o<br>> > > '.inc', isso =E9 muito perigoso, pois .&#=
39;inc' n=E3o =E9 interpretado como um
<br>> > > c=F3digo PHP pelo Web server e ser=E1 visualiz=E1vel no n=
avegador como um<br>> > > texto na pagina. Isso parece algo banal, =
mas infelizmente muitos usam<br>> > > arquivos do tipo 'config.=
inc
' que contem senhas de banco de dados etc,<br>> > > algo que to=
rna o sistema muito inseguro...<br>><br>> > > Arquivos que ser=
=E3o inclu=EDdos devem ter a extens=E3o .php, pode ser<br>> > > exe=
mplo.inc.php
se voc=EA realmente quer que o nome contenha '.inc',<br>> > &=
gt; algo que eu acho desnecess=E1rio.<br>><br>> > > Voc=EA deve =
mant=EA-los fora do diret=F3rio root por uma pequena quest=E3o<br>> > =
> adicional deseguran=E7a."- Ocultar texto entre aspas -
<br>><br>> - Mostrar texto entre aspas -<br><br><br><br>-- <br>Giancar=
lo Santos<br>Desenvolvedor Web<br><a href=3D"mailto:gian...@gmail.com">gianc=
p...@gmail.com</a>
------=_Part_157774_5667586.1174580685846--
|
