Professional Documents
Culture Documents
PRODUO TEXTUAL
INDIVIDUAL
Taubat
2013
PRODUO TEXTUAL
INDIVIDUAL
Taubat
2013
Taubat
2013
SUMRIO
2 INTRODUO..........................................................................................................3
Taubat
2013
2 INTRODUO
Responder
as
questes
com
Taubat
2013
4.2 COMUNICABILIDADE
Uma vez que, o usurio entra no sistema ele precisa entre o designer que ocorrer
por meio da interface e se nos vamos implantar em "nossa Locadora de livros", livros
digitais ser preciso que nesse sistema exista alta comunicabilidade fazendo que o
usurio tenha resposta para seus questionamentos; quando um usurio fica perdido
na tela procurando uma funcionalidade ,ou quando acontece do usurio no saber o
que tal funcionalidade faz , ou quando clica em algo errado e no consegue voltar de
um modo pratico so sintomas de falta de comunicabilidade. Ento mais do que
necessrio incorporar uma boa comunicabilidade em nosso sistema.
Taubat
2013
fortemente
acoplados:
Existem
dois
ou
mais
processadores
funciona
de
forma
independente,
possuindo
seu(s)
prprio(s)
O mais importante conceito a aprender neste artigo que voc nunca deve confiar
que o usurio entrar com dados exatamente como era esperado. A forma como a
maioria dos scripts PHP so comprometidos entrando com dados inesperados
para explorar furos de segurana inadvertidamente deixados no script.
Usurios e Senhas
Outro ponto muito importante no exibir, em momento algum, o nome de login
(usurio) de algum usurio cadastrado no sistema. Lembre-se que para um usurio
conseguir invadir a conta do outro ele precisa de duas coisas: usurio (ou e-mail) e
a senha.. Se ele souber o usurio j tem 50% de sucesso.
Vale lembrar tambm que voc no precisa deixar a senha do usurio na forma real
quando salva-la no banco. muito mais seguro salvar um md5() ou sha1() da
senha no banco e quando for necessrio fazer a validao do usurio voc tambm
gera o md5() ou sha1() da senha que ele digitou e compara com o que h no banco.
Assim, se por ventura algum conseguir invadir e pegar todos os registros do banco
de usurios, o mximo que ele ir conseguir so o usurio/e-mail e uma senha
criptografada.
Arquivos .inc
Muitos programadores preferem usar arquivos .inc para identificar arquivos que
so chamados atravs das funes include() e require() (e as respectivas _once).
Se voc no configurar o servidor Apache corretamente, os arquivos .inc podem
ser baixados e lidos, ao invs de interpretados pelo servidor. O resultado seu
cdigo-fonte exposto. Em casos mais graves, arquivos de configurao, que
incluem a senha do banco de dados, podem ser lidos por qualquer um.
Detalhe, isto mais comum do que se pensa. Digite no Google: filetype:inc
mysql_connect e voc ver que muitos sites, alm de no configurarem o arquivo
.inc corretamente, mantm a listagem de arquivos e pastas disponvel. Essa busca
retornar arquivos que terminam com .inc e possuem a palavra mysql_connect,
que uma funo para conectar ao banco de dados, que tem como argumentos o
endereo, usurio e senha. Logo, possvel obter todos os dados necessrios para
conectar-se ao banco de dados.
Cdigo para o Apache interpretar arquivos .inc como .php:
(adicionar ao arquivo .htaccess)
Cdigo PHP:
Addtype application/x-httpd-php .inc
Taubat
2013
Procure encriptar o que for necessrio. Assim como os demais comandos HTML, os
valores desta so facilmente editveis.
Validao Javascript
A validao com Javascript pode ser til para evitar que o usurio tenha que ficar
processando mil vezes uma pgina ao preencher de maneira invlida. Porm, no
podemos somente usar o Javascript para validar, at porque existem browsers que
sequer funcionam com Javascript. Nesses browsers, nenhum dado seria validado e
isto perigoso. Nunca se esquea que o Javascript client-side, logo, pode ser
manipulado pelo computador cliente.
Manipular arquivos til, mas tome os devidos cuidados
s vezes, precisamos ler, fazer o download ou adicionar informaes a um arquivo.
Nada melhor que usar readfile(), fopen() e as demais funes necessrias. O
cuidado deve estar nos argumentos que voc passar.
Exemplo: Acessando o link abaixo, o site escrever todo o cdigo fonte.
http://www.exemplo.com/download/ler.php?arquivo=ler.php
Isso fica EXTREMAMENTE perigoso se utilizarem comandos para subir e descer
diretrios.Exemplo:
http://www.exemplo.com/download/ler.o=../.htaccess
Logo, o caminho seria, por exemplo,: /home/exemplo/www/.htaccess
Em teoria, possvel acessar qualquer contedo do site, desde que se conhea a
estrutura do mesmo e tenha permisso para tal.
Se voc s for ler arquivos na mesma pasta, utilize str_replace(), para remover .. e
/. Caso contrrio, faa a devida programao para evitar problemas. Por exemplo,
permita a leitura somente dos arquivos necessrios, atravs da extenso, por
exemplo.
Obs: Este tpico tambm se aplica funo highlight_file() / show_source()
Retorno de informaes mal-feito pode levar a HTML Injection
O usurio faz uma busca por uidroot em seu site. O seu site retorna No foi
possvel encontrar uidroot. Tente outra palavra .
E se o usurio busca por <b>uidroot? Se voc no tratar corretamente o retorno,
ver o site exibindo:
No foi possvel encontrar uidroot Tente outra palavra..
Muitas pessoas ignoram o HTML Injection, alegando que s um problema
esttico. Para os usurios do Orkut: em meados de Agosto / Setembro de 2006,
Taubat
2013
Taubat
2013
Taubat
2013
Manual Sistema
Manual usurio
Manual Operao
Material de treinamento
5. Implantao do Projeto
Configurao infra-estrutura
Instalao do sistema
Teste do cliente
Treinamento
Operao assistida
Ajustes e correes
Acompanhamento
6. Fechamento
Aceite formal do cliente
Relatrio do projeto
Cronograma do Projeto
Taubat
2013
5 CONCLUSO
A realizao deste trabalho colaborou muito para que eu ficasse sabendo mais ainda
sobre Anlise e Desenvolvimento de Sistemas, pois tive que rever a matria at aqui
dadas, aumentar meu conhecimento sobre a segurana de cdigos PHP e aprimorar
o passo-a-passo para a construo de um projeto.
6 REFERNCIAS
Taubat
2013