[FUGSPBR] Off-Topic - PHP X Seguran

Rodolfo Fiuza rodolfo.fiuza em netcard.com.br
Seg Ago 4 11:12:45 BRT 2003


A maioria dos servidores trabalha com register_globals=off, pq agiliza o desenvolvimento. Eu não sei que medidas eles tomam para aumentar a segurança, pq a maioria das medidas de segurança (ou pelo menos uma parte importante), tem que ser tomada pelo programador, que deve sempre verificar fortemente as entradas de dados do usuario, para evitar entradas de dados maliciosos.
On Mon, 4 Aug 2003 11:06:01 -0300
Ronan Lucio <ronanl em melim.com.br> wrote:

> Caros,
> 
> Como PHP não é muito a minha "praia"... Aliás, obrigado
> às diversas ajudar quando foi preciso, inclusivo ao Maia
> que escreveu um verdadeiro manual de segurança em PHP.
> 
> Instalei aqui na empresa um servidor de hospedagens PHP
> no qual diversos clientes hospedam suas páginas.
> 
> Como sempre, tive que tomar medidas especiais para
> aumentar a segurança deste servidor, entre elas, setar
> a váriável "register_globals" para off.
> 
> Acontece que este parâmetro está me trazendo alguns
> transtornos porque, pelo que vejo, muitos programadores
> PHP não têm se atualizado profissionalmente e grande
> parte das páginas não funcionam no site sem alguns ajustes.
> 
> Diante disto a minha dúvida é:
> Se eu setar a variável "register_globals" para "On"
> isto irá me trazer problemas de segurança ou posso
> fazer isto sem maiores problemas?
> 
> Pelo que vi, se eu setar esta variável para On, será
> possível injetar códigos PHP diretamente na URL, o que
> abriria uma vulnerabilidade. O problema, como falei,
> é que eu não entendo muito de PHP e não seu exatamente
> até onde isto é prejudicial.
> 
> Outro problema é que a maioria dos clientes que vem
> hospedar suas páginas conosco dizem que nos outros
> provedores a página estava funcionando, ou seja, será
> que todos estão trabalhando com register_globals=Off?
> 
> Qualquer ajuda é bem vinda,
> 
> []'s
> Ronan
> _______________________________________________________________
> Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
> Historico: http://www4.fugspbr.org/lista/html/FUG-BR/
> 


-- 
Atenciosamente,

Rodolfo Fiuza
_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/



Mais detalhes sobre a lista de discussão freebsd