Boas, tou a desenvolver de raiz um CMS para clans utilizando PHP e MySQL e gostava que me indicassem quais sao as formas mais eficientes de proteger o website.
Neste momento quando o utilizador insere algum valor (por $_POST ou $_GET), uso sempre o mysql_real_escape_string() antes de fazer a query para evitar mysql injections. Há mais algum metodo que deva utilizar para evitar as mesmas, ou é suficiente?
Outra coisa que faço também é controlar os ficheiros a que é feito include, para que evitar que façam por exemplo index.php?site=ficheiro_do_mysql e me apareçam páginas que não é suposto aparecer.
Que outros ataques podem surgir, e como me posso proteger deles?
Eu tenho um ficheiro .php em separado com os dados para aceder á base de dados mysql, no entanto esse ficheiro tá na mesma pasta que os outros e já li por aí que é aconselhavel por o ficheiro fora do httpdocs para que este só possa ser acedido pelo servidor. Isto é importante ser feito, ou não há problema em tê-lo na mesma pasta que o resto do site?
Não preciso que seja um website com alta segurança, mas quero que esteja protegido contra os ataques mais basicos, para que ninguem se lembre de xegar lá e por-me o site em baixo logo nas primeiras tentativas.
Por ultimo, gostava também que deixassem a sua opinião sobre o layout do site.
link: http://sixtynine.webartdesign-eu.net/
Obrigado. : )
Neste momento quando o utilizador insere algum valor (por $_POST ou $_GET), uso sempre o mysql_real_escape_string() antes de fazer a query para evitar mysql injections. Há mais algum metodo que deva utilizar para evitar as mesmas, ou é suficiente?
Outra coisa que faço também é controlar os ficheiros a que é feito include, para que evitar que façam por exemplo index.php?site=ficheiro_do_mysql e me apareçam páginas que não é suposto aparecer.
Que outros ataques podem surgir, e como me posso proteger deles?
Eu tenho um ficheiro .php em separado com os dados para aceder á base de dados mysql, no entanto esse ficheiro tá na mesma pasta que os outros e já li por aí que é aconselhavel por o ficheiro fora do httpdocs para que este só possa ser acedido pelo servidor. Isto é importante ser feito, ou não há problema em tê-lo na mesma pasta que o resto do site?
Não preciso que seja um website com alta segurança, mas quero que esteja protegido contra os ataques mais basicos, para que ninguem se lembre de xegar lá e por-me o site em baixo logo nas primeiras tentativas.
Por ultimo, gostava também que deixassem a sua opinião sobre o layout do site.
link: http://sixtynine.webartdesign-eu.net/
Obrigado. : )
Última edição:
