A PlazaHost dispõe de soluções otimizadas e confiáveis, com estabilidade e uptime elevados, utilizando o que existe de mais novo no mercado tecnológico. Assim podemos atender aos mais diversos tipos de usuários, com a maior diversidade de necessidades e exigências possíveis.

Arquivo de abril de 2011

[DICA] Saiba como o include pode afetar sua segurança

quinta-feira, 21 de abril de 2011

Chamar conteúdos de outros sites para a própria aplicação é uma prática bastante comum. No entanto, é preciso tomar alguns cuidados para não colocar em risco a segurança da mesma. Sendo assim, vamos esclarecer alguns pontos e também, dar a dica de como substituir o include por um comando mais seguro.

O que é um include?

Um include é a chamada de um arquivo para que ele seja executado junto à outro. Ou seja, você pode puxar informações de outro local para seu site. Vamos a um exemplo prático?

Acesse seu FTP e crie o arquivo: index.php

Escreva nele o conteúdo:

<?php
include(“meuprimeiroinclude.php”);
?>

Após, crie o arquivo meuprimeiroinclude.php com o conteúdo:

<?php
echo(“Eu sou um include!<BR>Ôê”);
?>

E pronto! Seu primeiro include feito!

SuHosin, o que é, por que é, o que faz?

SuHosin é um projeto de Firewall embutido no PHP, sendo uma lib carregada, que usamos como um sistema de proteção para clientes e por este motivo, este faz o bloqueio na tentativa de algum tipo de ataque ao serviço. 95% das incidências passam despercebidas, pois o próprio SuHosin bloqueia o script e não o site, mantendo o serviço funcional.

A pergunta chave, qual a relação do include com o SuHosin?

Por exemplo, o SuHosin verificou que está sendo utilizado um include,  processo este, que pode se tornar perigoso quando chama informações de outro site que você não tem controle sobre o conteúdo, assim, o SuHosin impede o uso do include, já que existe a possibilidade de que seja executado um script em seu site. Ou seja, em alguns casos, pode ocorrer invasão ao FTP de um domínio através da inserção de scripts maliciosos, gerando ataques ao usuário e até mesmo ao servidor.

Existe algum comando que substitua o include, mas que não haja o bloqueio?

Sim. Por exemplo, para evitar esse tipo de bloqueio, você pode mudar o comando para file_get_contents, pois este não permite que scripts sejam executados no destino, mas sim, em sua origem. Veja o exemplo:

<?
file_get_contents(“http://www.meusite.com.br/teste_de_arquivo.php”);
?>

Mais informações:

http://br2.php.net/manual/pt_BR/function.file-get-contents.php

http://www.hardened-php.net/suhosin/

 

Mapa do site | Trabalhe Conosco | Blog

Todo o conteúdo deste site é de uso exclusivo da PlazaHost - Copyright © 2001-2011