Logotipo Dicas-L, por Ricardo Burile

Busca

Visite também: Segurança Linux ·  UnderLinux ·  VivaOLinux ·  LinuxSecurity ·  NoticiasLinux ·  BR-Linux ·  SoftwareLivre.org ·  [mais]   
 

 

 

Procure pela casa ou apartamento ideal à venda ou para aluguel na busca inteligente do Imohoo
Buscar imóveis


Você está aqui: Home  → Arquivo Dicas-L

 

Assine a Lista Dicas-L

Receba diariamente por email as dicas
de informática publicadas neste site
Para se descadastrar, clique aqui.

Publicar em del.icio.us

Veja a relação completa dos artigos de

Referências Adicionais

Referências adicionais sobre os assuntos abordados neste site podem ser encontradas em nossa Bibliografia.

Avalie esta dica

  • Currently 3.00/5
  • 1
  • 2
  • 3
  • 4
  • 5

Avaliação: 3.0 /5 (358 votos)

Recomende este site
Recomendar este artigo


Versão para impressão


Opinião dos Leitores

Marco
29 Dez 2009, 02:38
Oiii, eu gostaria de saber se vc me poderia dar uma ajuda. deixo o meu e-mail daruller@hotmail.com
Leonardo Costa
17 Jun 2008, 19:11
Caro Luciano, mande o e-mail para o meu e-mail que mando o código corrigido com todos os itens de segurança alocados.
Leonardo Costa
17 Jun 2008, 19:05
Thiago, agradeço pela sua atenção com as suas críticas, mas não devemos julgar quem não conhecemos. Você é um novato neste mundo, tem que primeiro aprender a ser humilde antes de falar o que é certo ou errado.
Thiago
13 Jun 2008, 16:30
Este código é um bom exemplo daquilo que um bom programador deve EVITAR.

Todos os "INPUT"s providos pelo usuário devem passar por rotinas de sanitização que fazem -- no mínimo -- uma remoção de caracteres especiais que possam causar efeitos não desejados sob a perspectiva de segurança (mysql_escape_string é o mínimo).

Acredito que o autor tivesse a melhor intenção possível, porém, ainda precisa estudar e entender as armadilhas da programação "imprudente" antes de publicar exemplos em listas de grande volume -- como a DICAS-L.
Luciano
13 Jun 2008, 16:18
Olá, gostaria de dar uma olhada no seu código modificado de Login, estou começando a estudar php e não entendo muito ainda, se vc puder me encaminhar eu agradeço.

Abraços..
Leonardo Costa
13 Jun 2008, 11:11
ATENÇÃO: Pessoal, executei correções neste código na parte de segurança na autenticação, quem quiser este código com as correções pode encaminhar um e-mail para skullinux@gmail.com fazendo a solicitação.

Qualquer dúvida estou a disposição!
Leonardo Costa
12 Jun 2008, 19:24
Pessoal, obrigado pelas critícas, acho muito importante a opnião das pessoas.
Eu também recomendo fazerem melhorias no código antes de utilizarem.
Décio A.Alves
12 Jun 2008, 18:03
ATENÇÃO: Não use este código em ambiente de produção, sem ao menos melhorá-lo. Conforme o usuário abaixo informa, existe problema de tratamento de variável. Nem se trata da variável senha, pois é usada a função md5, o que converte a entrada em código contínuo, mas sim da variável 'registro', que entra no banco de dados sem tratamento, conforme o usuário digita, o que sujeita o código a vulnerabilidade de ataque de injeção SQL.
Anselmo
12 Jun 2008, 11:34
Leonardo Costa, obrigado pela iniciativa de dividir seus conhecimentos com os outros, mas, me desculpe, devo alertar a você e aos outros leitores que o codigo apresentado me parece fraco sob vários aspectos. O principal é que, como você testa primeiro o "login" do usuário com:
"SELECT numregistro FROM publicoalvo where numregistro = '" . $registro . "' ";
Depois a senha com:
SELECT senha FROM publicoalvo where senha = '" . $senha . "' "
E em nenhum momento testa o par código/senha juntos, isso permite que uma pessoa se loge como outra pessoa utilizando a própria senha, o que é uma falha grave de segurança.
Abraços,
Anselmo
Alexandre
12 Jun 2008, 11:26
Olá Leonardo Costa!

Gostei da dica e fui tentar, porém recebi as seguintes mensagens de erro:

Não foi possível se conectar no banco
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/meudiretorio/login.php on line 17

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/meudiretorio/login.php on line 18
Dados incorretos!< meta HTTP-EQUIV = 'Refresh' CONTENT = '1; URL = acesso.php'>
*Nome:
Email:
Me notifique sobre novos comentários nessa página
Oculte meu email
*Texto:
 
  Para publicar seu comentário, digite o código contido na imagem acima
 


Powered by Scriptsmill Comments Script

Submarino.com.br

Encontre imóveis, apartamentos e casas a venda no Imobilien
Saiba mais