Dicas de segurança em PHP
Dica publicada em PHP / Avançado
Dicas de segurança em PHP
Muito tem sido falado sobre desenvolvimento de softwares
seguros, mas não são só os softwares executáveis (.exe) que
podem conter vulnerabilidades, os scripts em PHP também podem
apresentar diversos tipos de vulnerabilidades, a principal
delas é que muitos programadores ainda tem o mau hábito de
guardar suas includes em arquivos .inc.
Aparentemente não há problema nenhum em fazer isso, porém se analisarmos bem, a extensão .inc não é interpretada pelo servidor, ou seja, o usuário pode fazer o download deste tipo de arquivo e é ai que está o grande problema, os programadores utilizam estas includes para gravar o nome do usuário e senhas de acesso ao banco de dados.
Resolver esse problema é simples, basta alterar as permissões do arquivo para que os usuários não possam acessá-lo ou mudar a extensão dele para PHP, que é interpretada pelo servidor.
Este não é o único problema na hora de criar scripts em PHP, espero em breve desenvolver mais artigos sobre o assunto.
Leonardo
Fonte: http://www.rodrigobytes.com.br/
Aparentemente não há problema nenhum em fazer isso, porém se analisarmos bem, a extensão .inc não é interpretada pelo servidor, ou seja, o usuário pode fazer o download deste tipo de arquivo e é ai que está o grande problema, os programadores utilizam estas includes para gravar o nome do usuário e senhas de acesso ao banco de dados.
Resolver esse problema é simples, basta alterar as permissões do arquivo para que os usuários não possam acessá-lo ou mudar a extensão dele para PHP, que é interpretada pelo servidor.
Este não é o único problema na hora de criar scripts em PHP, espero em breve desenvolver mais artigos sobre o assunto.
Leonardo
Fonte: http://www.rodrigobytes.com.br/