Dicas importantes de segurança em seu código

Algumas perguntas e dicas referentes a segurança do site:

1. Como escapar corretamente os formulários PHP ou mesmo ASP para que não se sofra um SQL injection?
R: Filtrando seu conteúdo.

2. Como lidar corretamente com permissões de arquivos para que uma página PHP não consiga reescrevê-los?
R: Utilizando o .htaccess do Apache, ele restringe o acesso a determinados arquivos e pode impedir hotlinking fora do seu site.

3. Como configurar uma pasta para upload de documentos fora do link navegável para que ninguém consiga realizar um upload de um script e executá-lo?
R: Coloque a pasta acima do diretório /public_html/, para acessá-la você pode usar um PHP com a função fopen().

Outras Dicas:

  • Senha de FTP deve conter caracteres especiais e se possível ser alterada de tempos em tempos, sempre que um PC usar o FTP se certificar de que este não esta infectado por algum spyware por exemplo, 90% de ataques a sites e invasões em si são com senhas de FTP roubadas desta maneira, exemplo de senha segura: 7g6s3evhfF%$   
  • Evitar permissões desnecessárias em pastas, como por exemplo a 777, arquivos também. Usualmente formulários de upload tem grandes falhas com isto;
  • Sempre que tiver formulários de upload no site, como imagens etc, fazer uma checagem do conteúdo MIME TYPE antes de efetuar o upload. O mesmo para formulários de e-mail, são usados muito para envio de spam por brechas nos códigos, sempre verificar se o conteúdo dele é o esperado e não tem nenhum comando SQL ou outro;
  • Utilizar as ferramentas disponíveis no cPanel, como por exemplo fazer o donwload de backups quando possível, pelo menos do MySQL e sempre manter uma cópia do site, da estrutura de arquivos do site em um computador local e não apenas uma única cópia no servidor, por mais segurança que seja feita, backups e muitas coisas, estamos lidando com uma máquina que pode dar problemas e você estando preparado sempre terá mais segurança;
  • Arquivos do site devem sempre quando possível serem auditados, pelo menos os diretórios e verificar se todo o conteúdo é realmente conhecido e se não tem nenhum arquivo estranho ou fora do conhecimento da equipe técnica que cuida do site.
Atualizado em 10/05/2022
  • 1 Пользователи нашли это полезным
Помог ли вам данный ответ?

Связанные статьи

Sugestões para inibir o envio de Spam através de formulários em sites

Sugestão para contas shared:No arquivo de seu formulário adicione o código abaixo logo nas...

Como desabilitar o MOD_SECURE para o meu domínio?

Caso esteja tendo problemas em relação a execução de aplicações em PHP (ou mesmo PERL) relativo...

Invasão via iframe/javascript hacks

Discussão sobre esse problema no fórum do cPanel:...

Evitando SQL INJECTION

Esta classe é um sistema simples para evitar que sites sofram ataques via SQL INJECTION. O PHP...

Allow url include

A diretiva "allow_url_include" (no php.ini) não é permitida por motivos de segurança....

Powered by WHMCompleteSolution