Arquivo da categoria ‘segurança da informaçao’

Clique aqui e veja nosso novo site

Nos Ultimos tempos, o tipo de ataque mais comum entre hackers malvados, é a terrível sql injection. Em Que o hacker injeta um código malicioso no site,sistema(…), e consegui explorar o site, e conseguir diversas informações no site.

Os administradores de sites hoje em dia não estão si preocupando tanto quanto deveriam com a questão de segurança.  Alguns, não é porque não si preocupam e sim porque não dão conta de si proteger contra estes ataques.

Então este que é o meu propósito hoje. É ensinar as pessoas si precaverem do pior, que pode acontecer.

Esse código é muito simples para quem conhece alguma coisa de php.

Código php:

<?php

//si cod que vou pegar via post nao for numero, entao manda para uma pagina de error; caso o link der erro entao da em exit na pagina

if(!is_numeric($_POST[‘cod’]){

header(“location:error.php”);

exit;

}else{//caso contrario o codigo for numero entao pega o cod via post

$cod    =$_POST[‘cod’];

}

if((isset($_POST[‘nome’]) && ($_POST[‘nome’]==””)){//si existe um post chamado nome e neste post nao estiver nada nele, entao da erro

header(“location:error.php”);

exit;

}

//Aqui vamos comecar a segurança do site, nao podera entrar nenhum caracter especial via post, assim bloquiará os ataques de sqlinjection

//a funcao str_replace, é para substituir caracteres de alguma coisa

$nome  =$_POST[‘nome’];

$nome  =str_replace(“‘”,””, $nome);

$nome  =str_replace(“+”,””,$nome);

$nome  =str_replace(“@”,””,$nome);

$nome  =str_replace(“(“,””,$nome);

$nome  =str_replace(“)”,””,$nome);

$nome  =str_replace(“&”,””,$nome);

$nome  =str_replace(“=”,””,$nome);

$nome  =str_replace(“!”,””,$nome);

$nome  =str_replace(“#”,””,$nome);

$nome  =str_replace(“%”,””,$nome);

$nome  =str_replace(“*”,””,$nome);

$nome  =str_replace(“.”,””,$nome);

$nome  =str_replace(“,”,””,$nome);

//Aqui podemos selecionar o banco de forma nomal, sem precisar de medo desta query

mysql_select_db($database_local, $local);

$query_rr = sprintf(“SELECT cod, nome, descricao, codigo FROM postss WHERE cod=’$cod’ and where nome=’$nome'”);

//acima eu selecionei cod,nome,descricao e o codigo da tabela postss em que o cod seja igual ao que nos pegamos via post, e o nome seja //igual ao que nos pegamos via post

$rr = mysql_query($query_rr, $local) or die(mysql_error());

$row_rr = mysql_fetch_assoc($rr);

?>

Conclusão

Esse código foi para mostrar para os administradores de sites que dependendo do assunto, é “fácil si proteger”(Entre aspas, é claro).

Obs.: SI alguém não entender nada deste código, faça as perguntas aqui.

~bye~ Juancarloscunha