gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
LJ: Programming PHP with Security in Mind
Contribuído por npf em 09-10-02 10:38
do departamento php-from-pt
Portugal vd escreve "Para os mais distraidos, um portugues - Nuno Loureiro - da Eth (www.eth.pt) aparece com um seu artigo na LinuxJournal, sobre o tema de segurança em php.

O artigo pode ser lido aqui.

"Conclusions
I hope these guidelines help you have more secure web applications. The big lessons here are never trust user input, never trust variables that are passed between scr1pts (as through GET), never trust variables that came from a web form and never trust a variable if is not initialized in your scr1pt. If you cannot initialize a variable in your scr1pt, be sure to validate it.

Nuno Loureiro is a cofounder of Ethernet, lda (www.eth.pt). He has been programming PHP for over three years and has coordinated several big web applications. He likes climbing and trekking and can be reached at nuno@eth.pt." "

UMTS - Não coisam nem saem de cima | iTV - Sim ou nao ?  >

 

gildot Login
Login:

Password:

Referências
  • aqui
  • Mais acerca Portugal
  • Também por npf
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Excelente artigo (Pontos:3, Interessante)
    por Psiwar em 09-10-02 14:23 GMT (#9)
    (Utilizador Info) http://www.netcode.pt
    Sim, de facto é um tópico básico para quem já tem experiência em PHP e muitos dos problemas foram ultrapassados quando o register_globals passou a vir desligado por defeito. No entanto, todo o problema é bem abordado e com exemplos concretos de exploits que podem ser utilizados nestes casos. Recomendado para iniciantes. (versão em pt?)

    Apenas uma correcção:
    CSS != Cross-Site SCR1PTing
    XSS == Cross-Site SCR1PTing
    Re:Excelente artigo (Pontos:3, Esclarecedor)
    por Strange em 09-10-02 17:10 GMT (#17)
    (Utilizador Info) http://strange.nsk.no-ip.org/
    CSS é Cross Site SCR1PTing (vê as iniciais :)).

    Era essa a sigla inicialmente usada, o que me trouxe também um pouco de confusão da primeira vez que vi um caso (Cascading Style Sheets vulnerabilities??).

    Depois alguém se lembrou de dizer XSS em vez de CSS, o que reduz a confusão, mas a maior parte ainda usa CSS. (Afinal, w3 não é dono das siglas ;))

    hugs
    Strange

    Re:Excelente artigo (Pontos:3, Esclarecedor)
    por Psiwar em 09-10-02 17:52 GMT (#19)
    (Utilizador Info) http://www.netcode.pt
    Se fizeres uma sondagem a perguntar o que é CSS ao pessoal técnico, obténs Cascading Style Sheets como resposta maioritária. Mas basta fazeres uma pesquisa para CSS no google para teres a tua resposta.

    Relativamente ao XSS, já vem de há muito tempo e de outros ramos, usar a letra X (uma cruz) para dimunitivo da palavra Cross (cruz).

    Re:Excelente artigo (Pontos:3, Esclarecedor)
    por Strange em 09-10-02 18:21 GMT (#20)
    (Utilizador Info) http://strange.nsk.no-ip.org/
    Não digo que CSS não seja Cascading Style Sheets, apenas que também é Cross Site SCR1PTing. E que este termo foi primeiramente usado antes de alguns se terem decidido pelo XSS. E que a maioria (das advisories) que vejo ainda usa CSS.

    Por mim, acho bem que mudem para XSS, mas dicordo com teres dito que CSS != cross site scr1pting.

    hugs
    Strange

    Tang ir izy, baibi (Pontos:5, Esclarecedor)
    por Gamito em 09-10-02 15:05 GMT (#10)
    (Utilizador Info) http://www.gamito.org/
    É preciso calma.

    O artigo realmente é de nível básico para qualquer programador de PHP (como eu) e não acrescenta nada a quem anda atento às novidades.

    Mas este facto não traz qualquer demérito ao artigo, porque presumo eu, ele é dirigido a iniciados.
    Iniciados estes (que como eu quando me iniciei) devem andar a ler livros sobre PHP.
    Ora sendo estas mudanças recentes, qual o mal de vir um artigo no LJ sobre isto ?
    De certeza que vai ajudar muito os ditos iniciados.
    O LJ não é propriamente o pasquim da esquina e se eles editaram o artigo é porque viram que algum interesse devia ter (e tem).

    Por último, não deixo de me congratular por um português ter um artigo no LJ.

    Mário Gamito
    www.gamito.org
    Re:Tang ir izy, baibi (Pontos:0, Engraçado)
    por Anonimo Cobarde em 09-10-02 15:32 GMT (#12)
    Foi como o teu howto sobre qmail... tb era para _iniciados_ e no entanto nao é isso que lhe tira o mérito.
    peer (Pontos:4, Interessante)
    por nmarques em 09-10-02 15:18 GMT (#11)
    (Utilizador Info) http://morgul.xpto.org
    Muito honestamente, sempre que alguem contribiu tem que vir uns velhos do restelo mandarem postas de pescada... O ponto interessante e' que se escondem por detras do anonimato e flamarem sem sombra de duvida que sabem, agora porque nao aproveitam os doms que teem e metem maos a obra ? Afinal porque no meio de tanta critica, ninguem aqui duvida que facam melhor, logo, apresentem algo melhor...

    Eu nao programo em PHP da forma que muita gente aqui o faz, por exemplo o Gamito, mas ja dei uns toques de vez em quando, e um pouco de orientacao ou ate mesmo um artigo considerado por muitos basico, e' sempre interessante e traz sempre algo de novo... Para mim e' util, para os pro's que ja sabem tudo, porque nao compartilham um pouco da vossa sabedoria com o resto das pessoas que nao teem o vosso know-how ou expertise ? Mas ok, como nao sabem para mais, contribuem com flames, o que tb e' util afinal a' sempre alguem que se ri com tanta [...]. Parabens Nuno pelo artigo.

    --------------------------------------------
    If there is such a thing as too much power...
    I've not discovered it.../I
    bugs no slashcode ? (Pontos:0, Informativo)
    por Anonimo Cobarde em 09-10-02 15:50 GMT (#13)
    Ja' varias vezes notei que o engine do Gildot tem uns qts bugs marados, e mais uma vez faco notar isto: Supostamente, a nivel -1 deviam haver 12 comentarios, no entanto mm que eu seleccione esse nivel na caixa e escolha 'mudar', no maximo dos maximos consigo ver 4 comentarios, e um link no fim que diz 1 comentario mais, que presumo seja para um comentario moderado a -2, portanto invisivel. Mas e os outros 7, onde andam?

    Sinceramente, agradecia que nao me moderassem para -2 como de todas as outras vezes que salientei este comportamento anomalo!
    LJ (Pontos:5, Interessante)
    por vd em 09-10-02 16:44 GMT (#16)
    (Utilizador Info) http://paradigma.co.pt
    Duas considerações rápidas:

    - A Linux Journal tem um conselho editorial! Deles fazem parte: Daniel Frye, Jon Maddog Hall, Lawrence Lessig, Ransom Love, Bruce Perens e um editor geral.
            - Certamente que os artigos são aprovados por alguem especialista no assunto, ou pelo menos no meio, eles têm a noção do público que a LJ tem e concerteza que sabem distinguir o trigo do joio.

    - Foi a primeira vez que li um artigo de um portugues na LJ e sobre um assunto relativamente importante para tantos novatos no assunto. A LJ não se limita a alimentar mensalmente os especialistas, mas também os que chegam ao "novo mundo" à pouco tempo.

    Nesse sentido, considero que o artigo do Nuno Loureiro é sem dúvida de louvar, não só pelo facto de sair numa publicação que certamente tem imensos artigos tão bons ou melhores para aprovar, mas sobretudo pelo facto de ser um português a dar umas dicas numa revista internacional de linux.

    Acho que é de louvar, não o facto de ser um português a escrever para a LJ, mas sim um português que perdeu um pouco do seu tempo e escreveu para uma revista da especialidade, submetendo-se aos critérios editoriais da mesma.

    A este segue-se sem dúvida os outros portugueses que recentemente mostram o seu trabalho e dedicação criando documentos que possam ajudar outros utilizadores. Lembro-me do Mário Gamito e de um recente publicado aqui no Gildot sobre Mandrake e Modems USB.

    No entanto, é bem mais simples criticar o facto de "e qual é a novidade?" ou "how-to tão basico".
    Isso nota-se nos comentários aqui proferidos, sobretudo entre o meio "anónimo cobarde". Mas, quantos deles perderam 1h do seu tempo e colocaram os dedos a mexerem para produzir algo realmente útil que não seja apenas criticar por criticar ?

    Se os que acham básico aparecer um artigo numa revista conceituada de um portugues, eu certamente acho básico os comentários desnecessários que levam ao desacreditação do trabalho efectuado.

    Se hoje, muitos provávelmente sabem alguma coisa ou até muito foi porque:
    - Bateram várias vezes com a cabeça na parede a tentar resolver o problema
    - Falaram com alguém que já teve o mesmo tipo de problema e com dicas conseguem-no resolver
    - Lêram algo escrito por alguém

    A comunidade "linux" foi criada com o intuito de passar conhecimento, seja ele básico ou não.
    Ao estar a criticar o aparecimento de algo que deu trabalho, está-se a matar uma das fontes de ajuda e de conhecimento que existe, a entreajuda.

    A esses que perdem o seu tempo a ajudar deveria-se criticar positivamente, dando sugestões ou quanto mais não seja um "bom trabalho", e nunca um "coiçe" criticando-os pela negativa.

    Enfim...

    Cumprimentos,
    vd
    Re:LJ (Pontos:3, Interessante)
    por mlopes em 09-10-02 17:18 GMT (#18)
    (Utilizador Info)

    Mas, quantos deles perderam 1h do seu tempo e colocaram os dedos a mexerem para produzir algo realmente útil que não seja apenas criticar por criticar ?

    Provávelmente nenhum, se alguma vez tivessem feito alguma coisa, então já teriam reparado que a nivel profissional quase todos os erros que estão indicados no artigo, são cometidos, eu já trabalhei em 3 empresas onde, entre outras coisas, se programa em PHP e em nenhuma delas se liga a este tipo de coisas (estranhamente quanto maior a empresa, maior o encorajamento para ignorar tudo o que seja boa prática de programação)!
    Numa dessas 3 empresas onde trabalhei, havia uns quantos sites que usavam um CMS feito por uma outra empresa, tambêm em PHP, que por acaso continha no seu código quase todos os erros indicados no artigo, se não todos mesmo!


    If you don't have time to do it right, where are you going to find the time to do it over?

    Re:LJ (Pontos:1)
    por Montanelas em 09-10-02 21:16 GMT (#22)
    (Utilizador Info) http://www.war-zone.net
    VD, já ouviste falar em Inveja, o eterno pecado capital da cultura portuguesa, que conduz depois à mediocridade?

    E depois, lêem-se estudos internacionais, sobre a falta de motivação para o empreendedorismo no nosso sistema de (des)ensino...

    Será que vale a pena partilhar um pouco das vossas experiências, dos vossos conhecimentos, se depois, andam esses ronhosos ACs armados em velhos do restelo, a deitar abaixo por tudo e por nada?
    Re:LJ (Pontos:2)
    por racme em 10-10-02 3:07 GMT (#24)
    (Utilizador Info)
    - Foi a primeira vez que li um artigo de um portugues na LJ e sobre um assunto relativamente importante para tantos novatos no assunto. A LJ não se limita a alimentar mensalmente os especialistas, mas também os que chegam ao "novo mundo" à pouco tempo.

    ja existiram mais




    ...no reino de Quelthalas...
    im awake, im awake!
    Re:la la la (Pontos:2)
    por ^magico^ em 09-10-02 12:37 GMT (#2)
    (Utilizador Info)
    eu nao sou programador de php, ja li o manual

    infelizmente, nem todos lêem os manuais!
    Re:la la la (Pontos:2, Engraçado)
    por Anonimo Cobarde em 09-10-02 12:45 GMT (#4)
    eu acho que na submissão destes artigos, já podiam aparecer por default uns comentários a "mandar-a-baixo" para os anónimos cobardes e não só não terem de perder tempo a escrever sempre as mesmas coisas, ou então na submissão de um comentário podia haver templates tipo "flame-eu-sou-melhor", "flame-tu-nao-prestas", "flame-é-em-ingles", acho que estão a perceber a ideia
    Re:la la la (Pontos:2, Interessante)
    por aknot em 09-10-02 13:45 GMT (#6)
    (Utilizador Info)
    dor de cotevelo...

    Um portugues aparece no LJ e logo o artigo nao presta, bla, bla...

    Viva o nacional bota abaixo!

    aknot

    Re:la la la (Pontos:1, Despropositado)
    por leitao em 09-10-02 15:56 GMT (#14)
    (Utilizador Info) http://scaletrix.com/nuno/
    Hammm... se leres os artigos do LJ sao todos relativamente pouco originais pois o espaco tambem e' pequenos -- mas isso nao tira merito nenhum.


    "Monogamy is for guys that can't get pussy." --Steve-O.

    Re:la la la (Pontos:2, Interessante)
    por Montanelas em 09-10-02 21:20 GMT (#23)
    (Utilizador Info) http://www.war-zone.net
    Au contraire, muitas vezes foca-se o essencial, que no meio de tanta boa informação arrisca-se a ser descurado... Keep It Simple, Sir! :D

     

     

    [ Topo | FAQ | Editores | Contacto ]