Comments on: PHPSPCast #2: Segurança, não programe sem ela!

By: Tiago Davi

Tiago Davi — Fri, 15 Jul 2011 01:05:00 +0000

Muito bom, ouvi metade e vou ouvir a outra metade depois pois é bem extenso e de muito boa qualidade, parabéns.

By: Tiago Carmo

Tiago Carmo — Mon, 22 Mar 2010 03:11:54 +0000

Pessoal,

gostei muito do podcast, conheci ele a pouco procurando sobre segurança no Google e achei super interessante.

Vocês estão de parabéns!

By: dudufantastico

dudufantastico — Fri, 19 Feb 2010 20:39:17 +0000

Galera,

só queria dizer que gostei muito do cast.

parabéns.

abraço

By: Desenvolvedor Evangelista » Blog Archive » PHP: Noções básicas de segurança

Fri, 04 Dec 2009 10:55:50 +0000

[...] Podcast PHP sobre segurança (PHPSPCast) [...]

By: Andre

Andre — Thu, 03 Sep 2009 16:25:20 +0000

Incrível…
Trabalho com php faz pouquissimo tempo, e me indicaram este evento (PHPConference Brasil 2008)
Participei de 2 Mao na Massa, e entre eles comecei a conversar com o Galvão… mas até entao, totalmente desconhecido pra mim… depois do evento, dei umas googladas… porra!
em resumo…
Parabéns pelo cast e só ressaltando, não existe quem seja inacessível, há outras maneiras falar com o nego, se quer atencao, xingue a mae dele… uahauhauah brincadeiras a parte.
Parabéns!

By: leo barcellos

leo barcellos — Sat, 22 Aug 2009 05:12:28 +0000

Muito bom!
Fiquei ouvindo o PodCast programando aqui.. achei BEM interessante! É bem legal o ‘ambiente’ formado.

Parabéns!

By: Fábio

Fábio — Tue, 18 Aug 2009 16:13:32 +0000

Concordo com o PorKaria… em Santos o PHPCast vai ser o melhor de todos…

Vou ver se consigo uma filmadora.

O ruim vai ser os podres de todos no YouTube.

FLW

By: PorKaria

PorKaria — Sat, 01 Aug 2009 18:58:33 +0000

Ae,

Tem que ter um cast direto do maior phpinga de todos os tempos. Em santos, no último da PHP Conference Brasil.

Claro, gravariamos o cast na primeira hora de phpinga, pq depois 1 hora.. já sabe… hahahaha

By: Rafael Dohms

Rafael Dohms — Fri, 31 Jul 2009 00:40:20 +0000

Robson,

Já estamos preparando para gravar o proximo, mas o processo de edição demora um pouco, acedito que dentro de 2 ou 3 semanas tenhamos mais um episodio

By: Mingo Max

Mingo Max — Thu, 30 Jul 2009 18:21:35 +0000

Aeeeee demorou, mas chegou mais um excelente podcast!

Parabéns pelo trabalho. To terminando de ouvir ainda…

By: Robson

Robson — Thu, 30 Jul 2009 14:18:20 +0000

Ótimo cast parabéns ,
tem uma previsão de quando será o próximo Cast ?

Abraço a todos

By: Ivan Rosolen

Ivan Rosolen — Thu, 30 Jul 2009 12:23:37 +0000

Marcelo Araujo,

No caso eu falei de não utilizar o extract() para recuperar $_GET e $_POST.

Existe uma utilização correta mas no phpspcast comentei que seria para não usar no caso de recuperar variáveis não confiáveis.

Segue link: http://www.php.net/manual/en/function.extract.php

Warning

Do not use extract() on untrusted data, like user-input ($_GET, …). If you do, for example, if you want to run old code that relies on register_globals temporarily, make sure you use one of the non-overwriting extract_type values such as EXTR_SKIP and be aware that you should extract in the same order that’s defined in variables_order within the php.ini.

By: Erick Belluci Tedeschi

Erick Belluci Tedeschi — Wed, 29 Jul 2009 18:37:20 +0000

Uma dica para os que usam Apache+PHP e tem uma aplicação web com falhas de segurança (em produção).
Todos sabemos que dar manutenção em uma aplicação envolve fase de desenvolvimento, fase de homologação e somente depois servidor de produção (ou seja muito tempo). Enquanto o camarada desenvolve as correções, a aplicação que está em produção poderá sofrer ataques. Então para mitigar os riscos de segurança é recomendável o uso de um WAF (Web Application Firewall).
Um bom exemplo é o mod_security do Apache. Com algumas regras o mod_security resolve de forma rápida muitas vulnerabilidades.
Agora a dica da dica! Não vai achar que colocando um WAF você vai resolver sua vida, é apenas uma “garantia” a mais de segurança.

http://www.modsecurity.org/
http://www.cgisecurity.com/modsecurity.html

Falows, t+

By: ricardo

ricardo — Wed, 29 Jul 2009 18:14:45 +0000

register_globals vem off por padrão desde a vs 4.2.1

By: Renan Gonçalves

Renan Gonçalves — Wed, 29 Jul 2009 15:23:02 +0000

Demorou, mas chegou com ótimo conteúdo!
Parabéns pelo trabalho.

A solução contra o md5 e até mesmo o sha1 é utilizar uma string de salto.
No CakePHP é padrão todas os hashes criados fazer o seguinte:
md5(Salt + Password) ou sha1(Salt + Password)

Abraços!

By: Marcelo Araujo

Marcelo Araujo — Wed, 29 Jul 2009 13:46:26 +0000

Qual o problema de usar extract() ?

By: Fábio

Fábio — Wed, 29 Jul 2009 01:44:53 +0000

Muito bom o CAST!!!!

As tiradas do Galvão é de ferra mesmo.

Estão de parabéns…

By: David CHC

David CHC — Tue, 28 Jul 2009 20:15:20 +0000

Demorou, mas valeu a pena esperar,rs. Esse é um tema de primeira importância em qualquer aplicação, que é a segurança. Esse tema daria vários cast’s. Vcs levantaram pontos importantes e esclarecedores.

Parabéns pelo cast, que venham outros cast.

By: William G. Comnisky (PHPSC)

William G. Comnisky (PHPSC) — Tue, 28 Jul 2009 19:31:35 +0000

Saudações! Parabéns ao pessoal do PHPSP pelo cast. Um post meu comentando um problema que ocorreu com um site conhecido e bastante utilizado a respeito das senhas utilizando MD5 ‘simples’ e como evitar o problema:
http://blog.will.eti.br/2009/seguranca-em-aplicacoes-web/

abraço