Acabar com o mito do PHP ser inseguro

O PHP teve durante alguns tempos a fama de ser inseguro, mas os problemas nunca foram do PHP mas sim dos programadores amadores.

Felizmente com a versão 5.3 algumas das atrocidades anteriores passaram ao estado deprecated e vão ser removidas na versão 6 do PHP.

ElePHPant na praia

Alguns programadores vivem para funções e métodos perigosos como o register_globals. Se tu programas a pensar no register_globals e usas esta função então já sabes porque é que o teu site foi alvo de ataques.

Para resolver os problemas dos programadores preguiçosos foram lançadas algumas soluções de recurso, algumas feitas a pensar nos Hosting Providers como o safe_mode, outras a pensar nos programadores que confiam em tudo o que o mundo lhes diz, como o magic_quotes.

Eu adoptei a filosofia do Chris Shiflett, todas as informações introduzidas pelo utilizador (ou por sistemas de terceiros) são perigosas, e devemos tratá-las como tal. Devemos analisar todo o conteúdo introduzido por um utilizador ou fornecido por um serviço web antes de correr uma query de MySQL ou executar uma qualquer função de PHP.

Podemos usar um preg_replace para limitar informação apenas ao caracteres por nós permitidos, usar o real_escape_string em todas as querys MySQL, definir o conteúdo de uma variável como vazia antes de a utilizarmos no script. Tudo isto são pequenos gestos que tu e qualquer programador devem adoptar para melhorar o estilo de programação.

Infelizmente tenho visto muitos erros destes em vários scripts que me passam pela mão, mas o pior de tudo é ver aplicações estabelecidas no comércio online a necessitarem de funcionalidades perigosas como o register_globals. Depois existem os programadores que continuam a enveredar por um caminho desactualizado e que irá ser removido brevemente, fazendo com que os seus scripts deixem de funcionar.

Ao menos a web vai ser mais segura, não porque o PHP mudou, mas porque os programadores vão ser obrigados a mudar.

 
Copyright © 1985 - 2017 Eduardo Maio. Alguns direitos reservados.
eduardomaio.net - Às vezes mais valia ser Agricultor do que Programador
Ao navegar no blog eduardomaio.net está a concordar com os termos legais e de privacidade.