Bloquear php injection
Bem pessoal nessa minah primeira coluna vou ensinar como se protejer de php injection, muitos amigos sempre me perguntam como fazer isso, vamos lá
Codigo
====================================================
//Pega os dados passados pela URL
$pagina=$_GET["pagina"];
//Verifica se a string passada possui algum trecho invalido
//Caso tenha mostra uma mensagem de erro
if(eregi("httpwwwftp.dat.txt.gifwget", $pagina))
{
echo "Ops! Problemas na página!";
//Se a variavel passada estiver dentro das normas, executa o else abaixo:
}else{
if(!empty($pagina)) {
@include ("$pagina.php");
}else{ @include ("capa.php"); //essa seria a sua página principal
}
}
?>
=====================================================
Vamos entender o código
!Ele não deixa que ninguém tente colocar urls e outros tipos de códigos em sua query string !
Por exemplo, seu site funciona da seguinte maneira:index.php?pagina=contato
assim funciona beleza
E se o cidadão tentar fazer isso:index.php?pagina=http://www.sitedovirus.com&cmd=comando malicioso
aí o script bloqueia
!Faça isso e fique livre de ataques crackers em seu site !
0 comentários:
Postar um comentário