Este post é para quem não conhece ou nunca participou da Php Conference que é realizada todo ano em Osasco na Unifieo no mês de Novembro.

Participei pela primeira vez ano passado e tive grandes surpresas durante e após o evento.

O evento é dividido em 2 partes, onde você pode escolher de qual participa, ou participar de todas, escolhi ano passado e neste participar das Palestras Técnicas, Estudos de Casos e Painéis de Discussão, mas tem também a opção de participar de cursos “mão na massa”, o pessoal que participou ano passado falou muito bem deles mas como eu não vi não posso comentar muito….

Antes de participar não dava muito valor a este tipo de evento, mas depois me vi obrigado a reconsiderar, por isso, agora como fã de carteirinha, fiz uma lista de “porques” você deve participar da PHP Conference:

1. Entrar em contato com tudo que há de novo em PHP;
2. Se você já conhece tudo que há de novo, terá oportunidade de ver novas perspectivas;
3. As palestras são realizadas simultaneamente, assim você sempre acha uma que te interesse;
4. O Keynote sempre conta com palestrantes de alto gabarito e renome internacional, este ano será com o Eli White (Zend);
5. Se você participa de listas de discussão, poderá conhecer boa parte dos amigos virtuais lá;
6. Se você quer se “profissionalizar” em programação PHP sempre há palestras com este enfoque, inclusive sobre certificações;
7. Fazer um fodastico networking com quem é da sua área;
8. Visitar os stands de empresas que apoiam o PHP e oferecem serviços relacionados;
9. Como todo brasileiro gosta de ganhar brindes, arrisque que com certeza ganhará algo legal;
10. Relaxar, pois você não trabalhará nestes dias. Quer férias melhores que está?

O que mudou depois do evento para mim?

Como consequência, troquei minha IDE oficial de programação e uso o Komodo IDE que ganhei, e recomendo pois atende todas as minhas necessidades.

Através do networking fiz vários amigos, o que me trouxe várias coisas boas tanto no campo profissional quanto pessoal.

Passei a participar mais da comunidade, ajudando quem está começando da forma que puder.

Como resultado das palestras, consegui tirar algumas dúvidas, mas o mais legal é que sai com o triplo de dúvidas que tinha quando entrei lá, e isso como todo mundo sabe na cabeça de programador é maravilhoso, pois me incentivou a ir além e aprender muitas coisas novas.

E agora?

Com certeza estarei lá, pense bem antes de não ir, pois com certeza este evento acrescentará muito a sua experiência profissional, seja no evento ou pós evento.

Aproveite e faça a sua inscrição, é só clicar no banner abaixo.

Afinal o que é, e como pode ser caracterizada a injeção de código:

Uso de um serviço disponível em um sistema para executar comandos e ações não previstas pelo desenvolvedor, p.ex. Comando arbitrários, cópia de arquivos, acesso a diretórios e arquivos.

A pessoa mal intencionada deve contar com uma série de fatores para ser bem sucessida na inclusão do código (malicioso ou não) em seu site, entre elas deve: conhecer o tipo de serviço fornecido, a(s) linguagen(s) de programação utilizada(s), criatividade e sorte.

Quais os tipos?

Existem várias formas, abaixo as mais comuns:

• Injeção de HTML e JavaScript
• Injeção de SQL
• Injeção de PHP
• Injeção de HTTP
• Injeção de e-mail(SMTP)
• Injeção de inclusão de arquivos
• Injeção de Shell

Como ocorre a injeção?

Vou exemplificar abaixo 2 formas mais comuns e simples.

1. Campos de formulário (Injeção de HTML, Javascript, Php)
Suponha que no seu site tenho um campo de pesquisa que aguarda o envio de uma string para realizar a busca e o “usuário” ao invés de inserir uma string qualquer para busca insere um código que pode ser interpretado pelo programa/linguagem de programação.

Quando o programa recebe a string injetada e vai executar os comandos de pesquisa, na verdade estará executando o código injetado “sem saber”.

2. Links de entrada (Injeção de Php)
Por exemplo seu site usa a seguinte estrutura de links:
www.seusite.com.br/index.php?pagina=sobre, neste caso a variavel sobre será lida pelo seu código para ser incluida no site, este tipo de estrutura é muito usado na montagem de templates em php, o valor da variavel página é o nome do arquivo a ser incluido.

Como prevenir estes ataques?

• Não confie no usuário;
• Sempre filtre o que for passado como entrada para o seu programa antes de utiliza-lo.
• Não permita a inclusão de caracteres especiais e tags;
• Usar codificação de entrada e saída;
• Utilizar escape de caracteres perigosos;
• Não mostrar o conteúdo do banco de dados ao ser gerado um erro;
• Não utilizar scripts de validação somente no lado do cliente;

Solução para os dois exemplos apresentados:

1º No primeiro caso você deve usar o escape de caracteres perigosos, e uma expressão regular para validar os dados de entrada, neste caso o código usado irá depender de como seu código usará a string recebida, sugiro ver os links no final do post.

2º Aqui você pode trabalhar com a técnica de White List e gerar uma lista das páginas que podem ser acessadas, exemplo:

$paginasperm = array (

 inicio => 'inicio',

 sobre => 'sobre',        

 contato => 'contato'    

 );

$pagina=$_GET['pagina'];

 if (empty ($pagina)) {

 $pagina='inicio';

 include_once "$pagina".".php";    

 } else {

 if (array_key_exists($pagina, $paginasperm)) {

 include_once "$pagina".".php";                

 } else {

 echo '<h1>404 - Não Encontrado</h1>

 <p>A URL requisitada não foi encontrada neste servidor.</p>

 <hr>';

 }

 }

Se quiser saber mais sugiro a leitura dos links abaixo:
Vulnerabilidades em Aplicações Web
http://www.owasp.org/index.php/Main_Page
http://pt2.php.net/strip_tags
http://pt2.php.net/htmlentities
http://pt2.php.net/mysql_real_escape_string
http://deathseeker25.wordpress.com/2006/12/28/sql-injection-breve-explicacao/
http://en.wikipedia.org/wiki/SHA_hash_functions
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard
http://forum.imasters.uol.com.br/lofiversion/index.php/t276729.html

BlogBlogs.Com.Br