Dicas de segurança em PHP

Olá, hoje vou dar algumas dicas de como elevar sua segurança em PHP, coisas como realizar uma defesa de ataque SQL
(ataque de códigos em SQL para exibir os dados das tuas tabelas).
Bom uma das dicas é criar um token para validar as operações SQL antes de serem executadas.
Podemos fazer isso da seguinte forma:
CÓDIGO PHP COMENTADO:
$usuario = gethostbyaddr($_SERVER['REMOTE_ADDR']);//PEGA O NOME DO USUÁRIO LOGADO NO COMPUTADOR QUE ACESSOU A PÁGINA APÓS O LOGIN SER SUCEDIDO $Token = md5($usuario);//ENCRIPTA O NOME DE USUÁRIO EM MD5 session_start();//INICIA A SESSÃO $_SESSION['Token']= $Token;//GUARDA O TOKEN DENTRO DA SESSÃO QUE SERÁ USADA
Agora vou mostrar como validar um código SQL usando esse método:
O que vai acontecer é que caso o invasor tentar executar códigos SQL ele não vai conseguir, porque o software que ele usar
não vai conseguir saber como é feito o código e nem onde deve guardá-lo para que seja validado o nosso código SQL
Agora vamos ao CÓDIGO PHP COMENTADO:
@session_start();//INICIA NOVAMENTE A SESSÃO CASO ELA NÃO TENHA SIDO INICIADA CASO TENHA SIDO NADA ACONTECERÁ GRAÇAS AO '@' QUE DIZ PARA NÃO RETORNAR O ERRO PARA O USUARIO $Token = $_SESSION['Token'];//GUARDA NA VARIÁVEL TOKEN O CONTEÚDO DO ÍNDICE TOKEN DESTA SESSÃO if($Token === md5(gethostbyaddr($_SERVER['REMOTE_ADDR']))){//VERIFICA OS TOKENS (GERA UM TOKEN VÁLIDO PARA AQUELE USUÁRIO E VERIFICA SE O TOKEN ANTERIORMENTE GERADO É VALIDO TAMBÉM) //SE AMBOS FOREM VÁLIDOS ELE PASSA PARA ESTA ÁREA ONDE O CÓDIGO SQL SERÁ EXECUTADO }else{ session_destroy();//CASO NÃO SEJA VÁLIDO ELE DESTRÓI A SESSÃO CASO EXISTA }
Quando o assunto é códigos de segurança não é muito bom ficar postando vários e vários métodos de se defender porque
os que atacam também tem acesso a esses conteúdos
caso o seu professor seja um pouco mais chatinho, aconselho mudar algumas coisas, como por exemplo:
Ao invés de só pegar o nome de usuário do computador, fazer o seguinte:
-Concatenar o MD5 do nome do usuário do computador com o MD5 do nome do usuário que foi utilizado para realizar o login
e criar um novo MD5 com a concatenação dos 2 MD5.
P: Mais como eu faria uma coisa assim? R: Assim:
$USUARIOCOMP //SUPONHAMOS (APENAS UMA SUPOSIÇÃO) QUE TEMOS GUARDADO NA VARIÁVEL USUARIOCOMP O USUÁRIO LOGADO NO COMPUTADOR E NÃO NO SITE $USUARIOLOG //E QUE TEMOS NO USUARIOLOG O NOME DO USUÁRIO LOGADO NO SITE. //Faríamos assim: $PreMD5 = md5($USUARIOCOMP).md5($USUARIOLOG);//CONCATENAMOS OS DOIS CÓDIGOS MD5 GERADOS(USAMOS O ' . '(PONTO) PARA CONCATENAR STRINGS(LINHAS DE TEXTO)); $PosMD5 = md5($PreMD5); //Agora guardar este Token que é bem mais seguro que o anterior no lugar do anterior usando o mesmo método $_SESSION['Token']= $PosMD5;//GUARDA O TOKEN DENTRO DA SESSÃO QUE SERÁ USADA