« Google oferece treinamentos gratuitos sobre Rede de Display!
Hospedagem com CMS Zope/Plone »

Você sabe o que é um include e como ele afeta sua segurança?

Publicado por Mariana Sandini em 23/02/2011 em Geral. Comentário

Chamar conteúdos de outros sites para a própria aplicação é uma prática bastante comum. No entanto, é preciso tomar alguns cuidados para não colocar em risco a segurança da mesma. Sendo assim, vamos esclarecer alguns pontos e também, dar a dica de como substituir o include por um comando mais seguro.

O que é um include?

Um include é a chamada de um arquivo para que ele seja executado junto à outro. Ou seja, você pode puxar informações de outro local para seu site. Vamos a um exemplo prático?

Acesse seu FTP e crie o arquivo: index.php

Escreva nele o conteúdo:

<?php
include(“meuprimeiroinclude.php”);
?>

Após, crie o arquivo meuprimeiroinclude.php com o conteúdo:

<?php
echo(“Eu sou um include!<BR>Ôê”);
?>

E pronto! Seu primeiro include feito!

SuHosin, o que é, por que é, o que faz?

SuHosin é um projeto de Firewall embutido no PHP, sendo uma lib carregada, que usamos como um sistema de proteção para clientes e por este motivo, este faz o bloqueio na tentativa de algum tipo de ataque ao serviço. 95% das incidências passam despercebidas, pois o próprio SuHosin bloqueia o script e não o site, mantendo o serviço funcional.

A pergunta chave, qual a relação do include com o SuHosin?

Por exemplo, o SuHosin verificou que está sendo utilizado um include,  processo este, que pode se tornar perigoso quando chama informações de outro site que você não tem controle sobre o conteúdo, assim, o SuHosin impede o uso do include, já que existe a possibilidade de que seja executado um script em seu site. Ou seja, em alguns casos, pode ocorrer invasão ao FTP de um domínio através da inserção de scripts maliciosos, gerando ataques ao usuário e até mesmo ao servidor.

Existe algum comando que substitua o include, mas que não haja o bloqueio?

Sim. Por exemplo, para evitar esse tipo de bloqueio, você pode mudar o comando para file_get_contents, pois este não permite que scripts sejam executados no destino, mas sim, em sua origem. Veja o exemplo:

<?
echo file_get_contents(“http://www.meusite.com.br/teste_de_arquivo.php”);
?>

Mais informações:

http://br2.php.net/manual/pt_BR/function.file-get-contents.php

http://www.hardened-php.net/suhosin/

Posts Relacionados:

  1. Saiba como você pode utilizar o Streaming
  2. Segurança para transferência de seus arquivos
  3. Programa de Afiliados: você pode ganhar dinheiro com isso
  4. KingHost aproxima empresa e desenvolvedores com o lançamento de sua API
  5. Como migrar site para a KingHost. É FÁCIL!

Related Entries

0 Comentarios para “Você sabe o que é um include e como ele afeta sua segurança?”

Feed deste post Trackback
  1. Sem Comentarios

Deixe um Comentario

« Google oferece treinamentos gratuitos sobre Rede de Display!
Hospedagem com CMS Zope/Plone »

 

fevereiro 2011
S T Q Q S S D
« jan   mar »
 123456
78910111213
14151617181920
21222324252627
28  

Atualize-se