A PlazaHost dispõe de soluções otimizadas e confiáveis, com estabilidade e uptime elevados, utilizando o que existe de mais novo no mercado tecnológico. Assim podemos atender aos mais diversos tipos de usuários, com a maior diversidade de necessidades e exigências possíveis.

Posts com a Tag ‘manutenção’

Evite ataques de SQL Injection no PHP e MySQL

domingo, 8 de maio de 2011

Fonte: www.maisumblog.com

Em geral, o termo SQL Injection é bastante conhecido. No entanto, fazer uma função para projetos em PHP e MySQL, que evite de forma eficaz os problemas de segurança e não seja destrutiva, não é um assunto de conhecimento de todos.

Alguns programadores usam a função str_replace() para remover palavras como SELECT, DELETE, UPDATE, TRUNCATE, entre outras. No entanto, se um usuário do site, por exemplo, for falar sobre programação ou usar um desses termos em inglês ele simplesmente vai sumir do seu texto. Outra função adotada é htmlspecialchars() e htmlentities(), que aumentam o volume dos dados no banco de dados e deixam elas como HTML sendo que em outras aplicações pode ser totalmente desnecessário e não compatível o uso desses caracteres.

Também é conhecida a função addslashes(), que adiciona barras invertidas antes de aspas simples e duplas. Esta função é funcional, porém meio ultapassada e prejudica a visualização dos textos. É possível remover as barras nos dados vindos do banco com o auxílio da funcão stripslashes(), desta forma o trabalho será dobrado, pois os dados serão tratados na entrada e saída do banco sem necessidade.

Sendo assim, seguem sugestões que realmente previne sistemas contra ataques de SQL Injection sem comprometer textos ou aumentar o volume no banco de dados.

A melhor função para proteger sistemas em PHP e MySQL contra SQL Injection é a mysql_real_escape_string(), ela escapa os caracteres especiais como aspas simples e duplas antes de enviar para o banco de dados.

Também é preciso ter em mente que se a diretiva get_magic_quotes_gpc() estiver ON ele irá acrescentar barras invertidas automaticamente antes de aspas simples e duplas, o problema é que ele irá enviar para o banco de dados com as barras invertidas, comprometendo o texto. Para contornar isso basta usar a função stripslashes() para remover essas barras invertidas.

Segue exemplo da função com o nome de anti_sql_injection():

Note que na função primeiro é verificado se a o valor informado não é numérico, ou seja, que precisa ser tratado, em seguida, se a diretiva get_magic_quotes_gpc() está ativada, se estiver usa-se a função stripslashes() conforme falado anteriormente. Logo verifique se existe a função mysql_real_escape_string(), se existir use-a, caso contrário usamos a função mysql_escape_string().

Veja um exemplo de como usar a função:

Pronto! Agora sua aplicação está protegida contra ataques de SQL Injection, e o melhor de tudo, sem destruir o conteúdo do sistema.

 

Posicionamento oficial NIC.br

sexta-feira, 6 de maio de 2011

Durante a tarde hoje, os domínios .br foram afetados devido a uma atualização nos DNS root-servers da NIC.br.

Segue o posicionamento oficial da NIC.br [*]

“Senhores,

Durante uma atualização de configuração em parte dos cluster de
servidores DNS do .br, [abe].dns.br, enfrentamos um problema
operacional. Por hora a decisão foi de remove-los de operação até que
a situação seja contornada.

Os clusters DNS [cdf].dns.br não tem problemas operacionais e
encontram-se respondendo normalmente.

Os cluster foram removidos de operação as 16:39 e caches que
implementem corretamente negative-caching após as 16:44 não deveriam
continuar tendo problemas. Caso o problema persista estes servidores
devem ter seus caches totalmente reiniciados.

Mais tarde após a normalização dos serviços retornaremos com mais
informações sobre o ocorrido,

Atenciosamente,
Frederico Neves”

[*] http://registro.br/anuncios/20110506.html

[*] http://idgnow.uol.com.br/telecom/2011/05/06/falha-em-servidores-do-registro-br-atrapalha-acesso-a-sites.br/

 

[DICA] Saiba como o include pode afetar sua segurança

quinta-feira, 21 de abril de 2011

Chamar conteúdos de outros sites para a própria aplicação é uma prática bastante comum. No entanto, é preciso tomar alguns cuidados para não colocar em risco a segurança da mesma. Sendo assim, vamos esclarecer alguns pontos e também, dar a dica de como substituir o include por um comando mais seguro.

O que é um include?

Um include é a chamada de um arquivo para que ele seja executado junto à outro. Ou seja, você pode puxar informações de outro local para seu site. Vamos a um exemplo prático?

Acesse seu FTP e crie o arquivo: index.php

Escreva nele o conteúdo:

<?php
include(“meuprimeiroinclude.php”);
?>

Após, crie o arquivo meuprimeiroinclude.php com o conteúdo:

<?php
echo(“Eu sou um include!<BR>Ôê”);
?>

E pronto! Seu primeiro include feito!

SuHosin, o que é, por que é, o que faz?

SuHosin é um projeto de Firewall embutido no PHP, sendo uma lib carregada, que usamos como um sistema de proteção para clientes e por este motivo, este faz o bloqueio na tentativa de algum tipo de ataque ao serviço. 95% das incidências passam despercebidas, pois o próprio SuHosin bloqueia o script e não o site, mantendo o serviço funcional.

A pergunta chave, qual a relação do include com o SuHosin?

Por exemplo, o SuHosin verificou que está sendo utilizado um include,  processo este, que pode se tornar perigoso quando chama informações de outro site que você não tem controle sobre o conteúdo, assim, o SuHosin impede o uso do include, já que existe a possibilidade de que seja executado um script em seu site. Ou seja, em alguns casos, pode ocorrer invasão ao FTP de um domínio através da inserção de scripts maliciosos, gerando ataques ao usuário e até mesmo ao servidor.

Existe algum comando que substitua o include, mas que não haja o bloqueio?

Sim. Por exemplo, para evitar esse tipo de bloqueio, você pode mudar o comando para file_get_contents, pois este não permite que scripts sejam executados no destino, mas sim, em sua origem. Veja o exemplo:

<?
file_get_contents(“http://www.meusite.com.br/teste_de_arquivo.php”);
?>

Mais informações:

http://br2.php.net/manual/pt_BR/function.file-get-contents.php

http://www.hardened-php.net/suhosin/

 

[DICA] Manutenção de Emails

terça-feira, 11 de janeiro de 2011

Segue mais uma dica para nossos clientes dedicados que usam plataforma Linux com painel de controle Cpanel:

Se você já precisou realizar uma manutenção em uma conta de email de algum cliente, sabe o quanto é chato solicitar a senha de acesso ao email.

Foi pensando em resolver esse problema que agora disponibilizamos uma nova opção no WHM, que lhe permite realizar manutenções nos emails sem a necessidade de acessar o webmail da conta.

Para utilizar esta função siga os seguintes passos:

1 - Efetue o login no WHM como root

2 - Vá até a opção : ConfigServer Mail Manage
(localizada no final do menu)

3 - Escolha o domínio e selecione do lado direito: Manage Mail Accounts

4 - Serão exibidas diversas opções, como exibir as mensagens de email, mudar a quota, limpar a caixa de email e etc.

OBSERVAÇÃO:
Se por acaso esta opção não está disponível em seu WHM, entre em contato com nossa Central de Suporte e solicite a instalação da opção (válido apenas para clientes de serviços dedicados e vps Linux).

 

Servidores de DNS raiz passarão por manutenção

quinta-feira, 6 de maio de 2010

De acordo com a ICANN, engenheiros da empresa juntamente com engenheiros da Verisign e com o apoio do Departamento de Comércio dos EUA, realizaram uma atualização nos servidores DNS raiz da Internet, com o objetivo de deixá-lo mais seguro.

A atualização teve início nesta quarta (05/05/2010) às 14 horas do Brasil, e durou 3 horas.

Ainda de acordo com o órgão, a atualização ocorreu sem maiores problemas, mas pode afetar alguns usuários durante o período de propagação, que leva de 12 a 72 horas para se completar.

Neste período, caso haja indisponibilidade na conexão, recomendamos que notifique nossa equipe e o seu provedor de acesso.

Entretanto, a previsão é que os usuários brasileiros não sejam afetados, de forma direta ou negativa, por tais alterações.

Maiores informações podem ser obtidas no site oficial Root DNSSEC

Manutenção Programada – Contas PHP

sexta-feira, 22 de janeiro de 2010

Está programada para a madrugada do próximo sábado, dia 23/01/2010, uma manutenção na infraestrutura de redes dos servidores relacionados ao serviço de hospedagem de contas PHP da PlazaHost.

Esta manutenção tem como objetivo aumentar a capilaridade dos circuitos dedicados dos servidores com a Internet, aumentando inclusive a redundância destes links.

A manutenção terá inicio programado às 23:59 do dia 23 de janeiro, com término previsto para 05:00 do dia 24 de janeiro. Ou seja, na madrugada de sábado para domingo. Neste período, somente os clientes de planos PHP serão afetados.

Qualquer dúvida, ou problema, entre em contato com a nossa central de suporte pelo link: http://suporte.plazahost.com.br

Problemas de acesso com “provedores Embratel”Problemas de acesso com “provedores Embratel”

segunda-feira, 7 de dezembro de 2009

Durante este final de semana e nesta segunda-feira, alguns clientes identificaram dificuldade no acesso à seus sites.

O problema foi derivado de uma falha no acesso à partir de roteadores da Embratel, não para nossa rede, mas para os provedores que utilizam esta operadora como fornecedora de link.

Os usuários que utilizam estes provedores não conseguiam completar a rota até nosso servidor.

Entramos em contato com a Embratel, com nossos fornecedores de link e datacenter, e tivemos a resposta de que poderia demorar para que fosse identificado o motivo da falha, que se mostrou específica ao ip principal deste servidor.

Tendo em vista esta informação, resolvemos modificar o endereço de ip do servidor afetado, para solucionar a questão o quanto antes.

Criamos uma solução de espelhamento do ip anterior, para que os clientes que acessam normalmente não fiquem sem acesso.

Não esperamos que haja qualquer dificuldade no acesso à partir de agora. Entretanto, caso haja, pedimos que entre em contato conosco imediatamente.

Mapa do site | Trabalhe Conosco | Blog

Todo o conteúdo deste site é de uso exclusivo da PlazaHost - Copyright © 2001-2011