Uma das linguagens de programação mais utilizada para desenvolvimento de aplicações dinâmicas para a Web é o PHP. O PHP, pelo facto de ser uma linguagem de programação aberta, não estando dependente de nenhum sistema nem de nenhum fornecedor específico, tornou-se numa escolha preferencial para este tipo de desenvolvimento.

Qualquer um, com um mínimo de esforço, consegue desenvolver uma aplicação web em PHP. A questão que se coloca é: será essa aplicação segura?

Para minimizar os riscos de segurança no desenvolvimento de aplicações Web com PHP, o PHP Security Consortium, tem um documento em que oferece uma visão clara sobre quais as melhores práticas para o desenvolvimento seguro com o PHP: PHP Security Guide 1.0.

Para quem desenvolve aplicações em PHP, é de leitura obrigatória.

A solução não me parecia muito complexa, e era directa de implementar. No entanto, e por estranho que pareça, o script listava apenas a directoria de início, e quando se navegava para as sub-directorias, recusava-se a indicar as potenciais sub-directorias existentes.

Depois de voltar para casa e bater um pouco a cabeça, acabei por conceber uma solução que parece funcionar bem sem problemas. Aqui partilho a mesma convosco, pode ser que vos venha a ser útil.

<?

if(isset($_REQUEST['dirname']))

{

    $dir = $_REQUEST['dirname']; 

}

else

{

    $dir = getcwd();

}

    

echo "<b>".$dir."</b><br>";



$dh=opendir($dir);



if($dh==false) 

{

    echo "Nao consegui abrir a directoria...";

    exit;

}



while((false !== ($entry = readdir($dh))))

{ 

    if(isset($_REQUEST['dirname']))

        $fileentry = $dir.$entry;

    else

        $fileentry = $entry;



    if(is_dir($fileentry))

        echo '<b><a href="webexplorer.php?dirname='.$dir.'/'.$entry.'/">'.$entry.'</a></b><br>';

    else

    {

        echo $entry."<br>";

    }

    

}

closedir($dh);

?>

Uma das tarefas que nos foram incumbidas, foi a selecção de alguns dos principais especialistas presentes no Summit, e gravar pequenos vídeos com eles sobre diversos aspectos do OWASP e de alguns dos ataques mais comuns na Web.

• Introdução ao OWASP
• Apresentação do OWASP Top Ten
• Apresentação do OWASP Enterprise Security API (ESA)
• SQL, XML e LDAP Injection
• Phishing
• Clickjacking.
  

Assim, e visto que hoje não houve tempo para mais, aqui ficam alguns dos vídeos (entretanto já carregados para o Youtube). Mais alguns vídeos estarão disponíveis posteriormente…

Introdução ao OWASP, by Jeff Williams

Apresentação do Top Ten, by Jeff Williams

OWASP Enterprise Security API (ESAPI), by Jeff Williams

(prometo que depois coloco aqui os vídeos mais interessantes – ou seja aqueles que demonstram os ataques)

1. “Utilize o PHP apenas quando necessita de o fazer” – Rasmus Lerdorf
2. “utilize múltiplas tabelas com PHP e MYSQL para obter escalabilidade” – Matt Mullenweg
3. “Nunca, mas nunca confie nos utilizadores” – Dave Child
4. “Invista em PHP cache” – Ben Balbo
5. “Aumente a velocidade de desenvolvimento em PHP, recorrendo a IDE, templates e Snippets” – Chad Kieffer
6. “Faça melhor uso das funções de filtro do PHP” – Joey Sochacki
7. “Use uma framework de PHP” – Josh Sharp
8. “Não use uma framework de PHP” – Rasmus Lerdorf
9. “Use processamento em batch” – Jack D. Herrington
10. “Ligue a notificação de erros imediatamente” – David Cummings

Para mais informação, vejam o artigo original.

Aqui está uma nova edição da PHP Summer School organizada pela Caixa Mágica e e pela DRI.

A novidade deste ano, é que vai haver uma edição, designada por “PHP Summer School Advanced Topics” que se realiza já no final do Verão (ainda não se conhece é o programa desta iniciativa).

Para participar nesta segunda acção é necessário ter frequentado a “normal” sessão de “PHP Summer School”.

O Leopard já traz por defeito o Apache2 e o PHP 5.2.4, no entanto é necessário activá-lo.

No seguinte site é possível perceber como activar o ambiente xAMP no Leopard. Este outro site traz igualmente um método alternativo.