Cuidado com os parâmetros passados pela URL

(2 votos, média: 5.00 de 5)

 Loading ...

Tudo bom pessoal?

Hoje vou falar algo muito simples mas que faz muita diferença em um sistema(web): Parâmetros passados pela URL.

Recentemente recebi acesso full por sete dias à um site de ensino de inglês(prefiro não falar qual é o site). Com o acesso full, os usuários podem fazer downloads dos ‘podcasts’ das aulas… que são arquivos MP3 onde são apresentadas situações cotidianas(em inglês), mas, tudo muito bem explicado pelo professor.
Mas, os downloads tem um limite: 14 downloads por mês.

Fui fazer um download, e para minha surpresa, o meu ID do banco de dados é passado via GET pela URL. Então pensei: Vou testar a segurança do site!

Adivinhem o que aconteceu?

Sim! se vc respondeu que a validação para saber se ja baixei 14 arquivos é feita por este parâmetro você acertou em cheio!!!

Então lembre-se sempre: NUNCA PASSE PARÂMETROS IMPORTANTES PELA URL.

OBS: Alterando o meu ID na URL para 1, eu poderia baixar todos os arquvos do site(mp3, pdf das aulas…). Pois pensei: normalmente, o primeiro usuário do banco de dados é do dono do site ou do usuário administrador.

Espero ter ajudado!

Descompactar arquivos com PHP

(13 votos, média: 4.77 de 5)

 Loading ...

Ola pessoal tudo bom?

Hoje vou postar mais uma dica: Como descompactar um arquivo ZIP com PHP.

Desenvolvi um sistema no qual os usuários trabalham com arquivos de texto muito grandes(acima de 20mb), ai neste caso, eles sempre ficam com os arquivos zipados na máquina… facilitando no caso de mandar para algum e-mail e etc…

Pensando nisso eu fiz com que eles pudessem fazer o upload dos arquivos zipados para o sistema e em uma tela eu exibia uma prévia(os nomes) do(s) arquivo(s) que estão dentro do ZIP.

Neste servidor eu instalei a versão 5.2.8 do PHP com todas as extenções, logo, não precisei configurar nada para funcionar.

Vamor para o código:
Leia o resto desta entrada »

Usando get_ini() para recuperar informações do PHP.INI

(2 votos, média: 5.00 de 5)

 Loading ...

E aí pessoal!

Hoje vou dar uma dica interessante e muito simples(as vezes dicas simples ajudam a resolver grandes problemas)… é como obter as configurações do PHP.INI no seu código.

Mas para que isto é importante?
Bom, em determinadas situações, você precisa saber se determinada configuração esta ativa. Vamos para um caso prático então.

Recentemente tive que fazer um ‘check-list’ para rodar um sistema. Este ‘check-list’ fazia algumas checagens no PHP.INI para saber se estava tudo correto, uma checagem que ele fazia era ver o “uplaod_max_filesize”. Caso ele fosse menor que 20M eu iria emitir um alerta para que isto fosse alterado.
Leia o resto desta entrada »

Gerar arquivo CSV

(5 votos, média: 5.00 de 5)

 Loading ...

Olá pessoal, hoje prcisei gerar um arquivo CSV de um relatório. O processo é muito simples, mesmo assim resolvi fazer um post sobre isto… pode ter alguem precisando

Como o relatório que fiz foi realmente muito simples, resolvi colocar mais firulas nele para ficar um artigo mais completo.

Ao final deste arquivo você terá aprendido:

- Ler um arquivo TXT e inserir suas linhas em um array;
- Usar a função list() e explode() do PHP;
- Usar o if ternário;
- Gravar um arquivo de texto no servidor;

Bom, como este post não faz parte do Mini-curso, eu não vou explicar linha a linha. Deixei o código bem comentado para que fique fácil de entender. Se tiver alguma dúvida, por favor de uma olhada no site do PHP(php.net/nomeDaFuncao) ou poste que eu ou alguem responde.

O arquivo TXT esta no seguinte formato: nome;email;website
Leia o resto desta entrada »

Mini Curso de PHP – Sistema de notícias (Colocando um ‘layout’ básico) – Aula 15

(7 votos, média: 5.00 de 5)

 Loading ...

Olá pessoal. Vamos dar continuidade ao nosso curso.

Como vocês sabem, estamos desenvolvendo um sistema de notícias. Já fizemos o seguinte:

• Cadastro de usuários
• Lista de usuários
• Exclusão de usuários

Até agora estamos colocando todos os arquivos na raiz do sistema. Hoje vamos organizar um pouco a estrutura dos arquivos, pois desta forma fica muito confuso.

Leia o resto desta entrada »