Arnaldo Nascimento

My digital world…

Vou abrir a categoria de segurança em programação PHP falando da técnica Spoofed Form Submission.

Esta técnica consiste em alterar um form HTML de forma a eliminar restrições ou scripts que executariam um filtro de validação rudimentar dos dados.

Abaixo um exemplo inofensivo

Agora um exemplo perigoso…

Solução

• Sempre revalide os parâmetros de entrada
• Valide tipos de dados corretos, como números

Configurar o acesso ao sistema de arquivos juntamente com entrada do usuário é perigoso, portanto, é melhor evitar isso como um todo, projetando seu aplicativo para usar um banco de dados e nomes de arquivos gerados ocultos. No entanto, isso nem sempre é possível. Abaixo segue um exemplo válido de uma rotina que valida nomes de arquivos. Usa expressões regulares para assegurar que somente caracteres válidos sejam usados no nome do arquivo e verifica especificamente a ocorrência de caracteres ponto ponto: ...

function isValidFileName($file) {
/* não permita .. e permita qualquer caractere de “palavra” \ / */
return preg_match(’/^(((?:\.)(?!\.))|\w)+$/’, $file);

}