C£rberus

Olá pessoal.

 

Neste tutorial irei abordar da forma mais resumida possível, e também profunda, uma solução para prevenir ataques de "Injecção SQL".

 

Antes comecemos pelas causas ou factores que na maior parte das vezes ocasionam estas falhas na segurança.

 

Principais causas

 

1- A primeira e talvez a maior responsável, é o mau saneamento dos dados provenientes do cliente.

2- Mau método de definição e mau manejamento das variáveis "Super globais".

3- Demasiado código ás vezes complica, ou seja, ter mais código do que o necessário torna a tarefa mais difícil, quando o problema é simples e óbvio.

4- Privilégios ilimitados os utilizadores do banco de dados.

 

Dentre outras ...

 

Depois de ler com alguma atenção os pontos descritos acima, é bem fácil perceber que a solução reside no bom saneamento dos dados provenientes do utilizador para o servidor. Mas, qual é a melhor forma de manufacturar tal solução ?

 

Apresento-vos 2 funções do PHP que fazem este trabalho parecer fácil, apesar de isto já ser fácil *-*.

 

 

Para mais informações visite: PHP.NET

 

Já vimos as 2 funções PHP que podem ajudar a tornar esta tarefa vezes mais fácil, agora passemos a segunda abordagem, que são as "Prepared Statmend".

 

Sem muito para falar ou explicar o nome já diz tudo "Instruções Preparadas", é o que isso é, nós simplesmente manufacturamos a nossa consulta MYSQLi usando este protocolo, veja um exemplo:

 

 

O que temos aqui é uma prepared_statment usando o MYSQLi.

 

Agora, eis um exemplo onde as variaveis provenientes do utilizar são antes purificadas, e só depois processadas.

 

 

E temos assim então o processo de limpeza concluído.

 

Assista o vídeo para ver mais detalhadamente o funcionamento:

 

[video=youtube;r65j2MXYW9A]

 

Lembre-se que os códigos ou scripts não são perfeitos, só tente não deixa-lo demasiado exposto, porque inacessível é impossível e escreve-lo sem erros é ...

 

Bom espero que tenham aprendido alguma coisa de nova com este tutorial.

Olá.

Muitos já devem conhecer-me e muitos também não, por isso deixemos a apresentação para outra altura.

 

Venho hoje a este fórum para saber o que mais vos faz falta em termos de tutoriais de programação para web, em termos de conteúdos principiantes e amador, ou mesmo intermediário.

 

O meu objectivo é criar uma série de conteúdo didáctico tanto escritas como em vídeo-aula para a programação WEB ou outra área em que eu tenha conhecimento .

 

A ideia maior, é praticar ensinando, e divulgar o meu saber, tendo em conta que não segui este curso no ensino superior, receio que venha a perder habilidades, por isso, espero que sejam amáveis e partilhem a vossa ideia acerca de, o que o precisa o pessoal nesta área em termos de conteúdo didáctico.

 

A regra é simples: "Sê livre, e diga apenas o que pretende".

 

Se preferir responda com base no modelo abaixo:

 

Como te categorizas quanto ao teu saber sobre programação/outra área ?

 

O que mais gostas/gostarias de fazer com a experiência que tens ?

 

O que mais te cativa numa vídeo-aula ?

 

Quais as partes que devem estar sempre presente numa video-aula/tutorial ?

 

Lembra-te apenas, sê conciso e liberal.

 

Obrigado.

Olá, a resposta para essa pergunta não é um bicho de 7 cabeças !

Para criar jogos básicos, ou complexos, utilize programas próprios para isso, um exemplo é o Game Maker Studio, utiliza a linguagem GML(Game Maker Language) que é basicamente o Pascal, com algumas modificações, e tem uma interface "Drag-and-Drop". Existem imensos tutoriais na internet.

Olá, neste tópico mostrarei a vocês como criar um template com PHP e HTML.

Para começar criamos um ficheiro PHP com nome a escolha, mas nesse exemplo o nome deste ficheiro será:

 

class.php

 

Em seguida criamos outro ficheiro chamado:

Index.php

 

Em seguida, cria-se o nosso template ou esqueleto do site:

ficheiro temp.html

 

 

Para terminar, salvamos os ficheiros numa pasta única e abrimos pelo navegador.

 

DOWNLOAD

SCAN

 

Boa Sorte.

Olá pessoal, neste tópico, mostrarei como criar um programa web, que adiciona e visualiza dados no banco de dados, sem a necessidade de actualizar a página.

 

Para começar, criamos um direcório único onde vamos colocar os ficheiros todos, e depois começamos por criar os ficheiros.

 

Ficheiro conect.inc

Ficheiro index.php

Ficheiro acc.php

Ficheiro tabela.php

Depois de criar os ficheiros todos, para que o website funcione é necessário configurar o ficheiro cconect.inc de acordo com os dados de login do phpmyadmin.

 

Depois de configurar o ficheiro conect.inc, basta aceder o website pelo navegador e criar a tabela clicando em "criar tabela", feito isto, o site estará operacional.

 

Lembrando que tem que fazer-se a inclusão da bibliotecca jQuery no ficheiro index.php.

 

DEMO

DOWNLOAD

SCAN

 

Boa Sorte.

Olá, neste tópico, mostrarei como criar páginas dinâmicas utilizando PHP e MYSQL.

 

Para aqueles que gostam de criar websites dinâmicos, faceis de programar, e sem muita complexiblidade esta pode, isto pode ser algo com que começar.

 

Para criar este website dinâmico, antes precisamos de criar um directório único, onde vamos colocar os scripts todos para que o website funcione sem quaisquer problemas.

 

No directório criado, criamos mais 3 pastas chamadas "conect, estilo e temp", que serão utilizadas mais adiante.

 

No directório principal, começamos por criar os ficheiro "index, paginas, dir, tabela e .htaccess".

 

O ficheiro ".htaccess" é opcional.

 

Ficheiro index.php

Ficheiro dir.inc

Ficheiro paginas.php

Ficheiro tabela.php

Ficheiro .htaccess

Se não quiser utilizar um ficheiro .htaccess basta alterar as url ou links na div menu para ?pagina=home, ?pagina=contacto, ?pagina=contacto.

 

Ex.:

Depois de criar os ficheiros todos e nomea-los correctamente, abrimos a pasta temp e nela criamos 3 novos ficheiros chamados "home, contacto e ajuda".

 

Ficheiro home.php

Ficheiro contacto.php

Ficheiro ajuda.php

Feito isto, voltamos ao nosso directório principal e abrimos a pasta conect, e nela criamos um ficheiro chamado "conect.inc":

 

Ficheiro conect.inc

Depois disto, voltamos ao directório principal a abrimos a pasta estilo, e nela criamos um ficheiro chamado "folha.css":

 

Ficheiro folha.css

Feito isto, temos o website completo, resta apenas configurar o ficheiro conect.inc com os dados de conexão do utlizador.

 

DEMO

DOWNLOAD

SCAN

 

Boa sorte.

Olá pessoal, depois de mostrar o sistema de comentário com foto de perfil, trago-vos algo não muito diferente, contendo quase as mesmas funcionalidades, mas uma aplicação diferente, que também pode ser chamado de "galeria online", pela tarefa que exerce, embora básica.

 

Esta galeria online, foi feita para o entendimendo geral, ou quem não a puder entender agora, não irá levar muito tempo até conseguir dominar tais aplicações.

 

Para construir este pequeno programa, começamos por criar um directório principal, igual ao que fora feito no sistema de comentario, com as pastas "estilo, temp e img ", desta vez abrimos a pasta "img" e nela criamos outra pasta chamada "galeria". Depois de tudo feito, voltamos a pasta principal, onde estão todos os outros subdirectórios, e começamos por criar os ficheiros:

 

 

Ficheiro conect.inc

 

Ficheiro dir.inc

 

Ficheiro tabela.php

 

Ficheiro index.php

 

Alright(certo), feito isto, temos a primeira parte do programa, agora resta-nos construir a parte interactiva, que inclui upload, detalhes da imagem, etc.

 

Para começar a construir a parte interactiva, abrimos o nosso directório "temp" e começamos por criar os seguintes ficheiros:

 

Ficheiro principal.php

 

Ficheiro home.php

 

Ficheiro criar.php

 

Ficheiro entrar.php

 

Ficheiro novo.php

 

Ficheiro detalhes.php

Até aqui, temos o programa totalmente operacional, restando apenas a parte do estilo, para ajudar a orgnanizar minimamente os elementos. Para isso voltamos ao nosso directório principal, e abrimos a pasta "estilo", e nela criamos um ficheiro chamado "estilo.css", com a seguinte informação:

 

Ficheiro folha.css

 

E com isto terminamos tudo, e temos o programa a funcionar normalmente, e já estilizado.

 

Para começar a utilizar isto, devemos começar por modificar o ficheiro "conect.inc", fornecendo o nome do banco de dados a utilizar, e os dados de login para o phpmyadmin. Depois de modificar o ficheiro "conect.inc", devemos criar as tabelas SQL atravéz do navegador digitando o endereço do website e o nome do ficheiro.

 

Ex.: web_site.com/tabela.php

 

Depois, basta-nos criar um usuário novo, atravéz do próprio site, que já estará em funcionamento, e começar a utilizar.

 

Espero, que tenha partilhado algo útil, e que façam um bom proveito. Boa sorte.

 

Download

 

SCAN

Obrigado pelo comentário, estou no aguardo, gosto bastante dos seus tópicos, tem um conteúdo muito "didático".

A maioria das funções eu entendo, mas em algumas mais "complexas" seria legal que você colocasse alguns comentários sobre como ela funciona :D

Vlw !

Aí está o novo script, modificado e muito fácil de entender, qualquer coisa é só perguntar, responderei assim que possível.

Bom tutorial, To gostando de ver tutoriais assim aparecendo aqui na Web programação, que ultimamente anda bem movimentada...

Não achei o nome correto para colocar no arquivo do último código PHP qual é ?

 

Aproveitando o post estou no aguardo da galeria online com sistema de comentários :)

 

Olá, eu apercebi-me disso agora, mais tarde ou daqui a poucas horas estarei a construir outro sistema iniciado do zero, com menos código inútil, de modo a deixa-la mais compacta e compreensível, e quanto a galeria, é algo que infelizmente ainda não fiz por distracção noutros assuntos pessoais, mas disso tratarei ainda hoje, depois de terminar o novo sistema de comentário.

E os outros tópicos que foram removidos através da manutenção também serão novamente disponibilizados assim que terminar os restantes. Qualquer dúvida, é só perguntar, e verei se poderei respondê-la assim que possível. Boa sorte.

Tudo bem.

Na verdade é mais pra evitar ter que escrever as querys no corpo do programa. Assim, ao invés de escrever:

 

É necessário se cadastrar para acessar o conteúdo.

• Entre
• ou
• Cadastre-se

 

ele chamaria o procedure...

É mais pra evitar problemas de sintaxe (escrevendo strings) e ter que escrever o mesmo código várias vezes.

 

Olá novamente, eu já tinha a tua resposta e até já a tinha respondido por citação aqui *-*, mas o farei novamente:

 

 

Antes é necessário executar o comando CREATE PROCEDURE para que este esteja disponível. Dá uma vista de olhos aqui para mais informações, e qualquer dúvida não existes em contactar.

[NOVO]Sistema de comentário com foto de perfil

 

Olá novamente, neste tópico postarei os scripts necessários para montar um sistema de comentário com foto de perfil, super básico, fácil de entender e com poucas linhas de código.

Para começar, cria-se um directorio único e nele colocaremos os arquivos aqui especificados.

No directorio que acabamos de criar, criamos mais 3 subdirectórios/pastas com os nomes "temp", "estilo" e "img" que serão utilizadas mais tarde.

No directório principal começamos por criar os ficheiros: index.php, dir.inc, conect.inc, e tabela.php.

 

Ficheiro index.php

 

Ficheiro tabela.php

 

Ficheiro conect.inc

 

Ficheiro dir.inc

 

 

Aqui terminamos os arquivos que ficam no directório principal, e obviamente os mais extensos de todo o programa, o que se segue agora, é o que completa o programa, mais html do que PHP, e ainda mais fácil de entender que a primeira parte, daí o facto de eu ter ignorado comentar algumas linhas.

 

Bom primeiro, abrimos a pasta "temp" anteriormente criada, e nela criamos os ficheiros "home.php, criar.php, detalhes.php, entrar.php, novo.php, sair.php, principal.php".

 

Ficheiro criar.php

 

Ficheiro entrar.php

 

Ficheiro sair.php

 

Até aqui já temos a parte do usuário, responsável pelo login e o termino de sessão de formas simplificadas.

 

Ficheiro home.php

 

Ficheiro principal.php

 

Ficheiro detalhes.php

 

Ficheiro novo.php

 

Por último abre-se a pasta "estilo" e nela criamos uma folha de estilo chamada "folha.css".

 

Ficheiro folha.css

 

E aqui terminámos a segunda parte do programa, e com ela o programa fica completo e pronto a instalar.

 

Para colocar o site a funcionar, primeiro editamos o ficheiro cconect.inc de acordo com os dados de login do nosso banco de dados phpmyadmin, caso seja uma conexão com servidor local altera-se apenas o banco de dados para um qualquer.

Depois de criar o banco de dados e defini-lo no ficheiro conect.inc é hora de executar o ficheiro tabela.php pelo próprio navegador, digitando no navegador o endereço do website seguido do ficheiro tabela.php

 

Ex.: web_site.com/tabela.php

 

Feito isto o script está pronto a operar, restando apenas criar um novo utilizador para testar os funcionalidades como por exemplo a de comentar com foto de perfil. A foto de perfil é definida durante o registro do usuário e mantém-se permanentente, podendo ser alterada apenas se o usuário for removido do banco de dados. Tendo em conta que este sistema é muito básico, as suas funcionalidades são muito limitadas e é muito vulnerável, assim sendo destinada apenas ao ensino *-*.

Uma vez mais bom aprendizado e boa sorte.

OBS: Quanto a galeria , já tenho o script pronto, fiz apenas algumas alterações no script deste tópico e está a funcionar normalmente, mas creio que não venha a criar o tópico agora, porque isto dá muito trabalho ainda que a vontade de partilhar seja enorme a criação de tópicos é algo que aborrece, nada comparando com a criação de scripts, por isso farei os possíveis para criar o tópico o mais rápido possível, não deixando garantias.

 

Download do código

SCAN

Vai no site do php e pesquisa a função "mail();" sem aspas ou coloca no Google como usar a função aí descrita. De momento não posso fazer um script para mostrar-te, mas a função é bem básica, já estou ocupado a criar um tópico para um usuário.

Sinceramente não te posso dizer, porque eu quase não trabalho com PDO e praticamente nunca utilizei PROCEDURES. Se me deres mais algum tempo talvez te possa ajudar, justamente porque eu ia começar a praticar PDO a semana que se avizinha.

Ao criar o banco de dados, reveja as configurações de codificação.

Olá novamente.

 

Neste tópico tentarei de uma forma resumida e talvez mais clara, mostrar a diferença entre o GET e o POST.

 

 

 

VIDEO COM EXPLICAÇÃO:

 

[video=youtube;N9gGc7Go0JI]

Olá novamente.

 

Embora não poste as minhas melhores web aplicações, tento postar algumas que possam ser uteis, para esterilizar algumas das tantas dúvidas presentes nesta área.

 

Este é um sistema de consulta php + mysql com protecção contra injecção mysql. Ultimamente não tenho lido muito sobre injecção mysql por isso esse programa pode conter algumas falhas de segurança que ainda assim não devem ser muitas nem perto comparado a um sistema normal. Lembrando que não se utilizou o mysql_close, sessões, nem cookies.

 

 

 

 

 

 

 

Sistema básico, montado as pressas, mas ainda assim fácil para o entendimento de todos que possuem o mínimo conhecimento em PHP + MYSQL & HTML.

 

VIDEO COM EXPLICAÇÃO:

[video=youtube;ncKD3KIcxeE]

Olá.

Desta vez trago um simples interpretador de PHP que fiz hoje quando não tinha nada a fazer, apesar de simples é muito útil. Espero que possam dizer o mesmo.

 

 

Aqui está o vídeo tutorial deste simples interpretador PHP

 

[video=youtube;oxAKN_SiQfo]

Não sabe para quê o loop ? Tenta bloquear por aí umas 100 palavras, ou tentar obter correspondência do banco de dados. Não vais ficar criando variáveis a toda hora pois não ? Olha, e vê se isso te ajuda a perceber. Eu nem sei se tu não sabes ou recusaste a aceitar qual é a melhor forma de utilizar ou não. Mas, cada um escolhe o que quer.

 

Faça as contas ...

Já não te vou alertar, até porque já pareces estar a perder a paciência.

Principal utilidade, pegar parâmetros de url !

Simples mesmo só se for utilizar um arquivo de conexão com banco de dados e formulário. Já que não se precisa de condições especiais.

Cá já há muitos tópicos a ensinar html básico o que inclui centralização de tags completas, div, classes, e até mesmo usando css !

Dificulta o entendimento ...

 

 

Ainda assim isso é praticamente um atraso, tendo em conta que isto fica mais lógico quando inserido numa variável encarregue de receber valores directamente de um formulário.

Aconselho a usar funções !

$_GET é utilizado para pegar valores de códigos html e não para aceder dados de banco de dados por causa da vulnerabilidade.

Qual a utilidade de escrever códigos html em ficheiros .txt ? Ou mesmo, qual a utilidade desse sistema de escrita, para além de gravar ficheiros .txt com códigos html ? E basicamente isso nem é sistema de upload, só para deixar claro.

Se estiveres a referir-te à fazer download de um site e depois executa-lo de modo a tornares-te dono, podes procurar no google por "sources de sites ou download site grátis", e depois podes emular o site pelo easyphp, entre outros, ou se o quiseres online, também podes hospeda-lo em um domínio web.

 

Caso queiras obter a fonte de um site php, tenta pelo backdoor, sql injection, dentre outros - tornas-te praticamente criminoso por fazer isto.