Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Segurança com PHP: O mínimo que todo DEV deve s...

Vinicius Dias
September 05, 2023

Segurança com PHP: O mínimo que todo DEV deve saber

Lidar com sessões, uploads de arquivos, senhas e dados confidenciais podem fazer parte do cotidiano de vários devs, mas nem sempre esses assuntos recebem a devida importância. Nessa palestra, o mínimo que todo DEV deve saber sobre segurança da informação em PHP será mostrado, citando como nos prevenir de diversos ataques em diferentes áreas.

Vinicius Dias

September 05, 2023
Tweet

More Decks by Vinicius Dias

Other Decks in Technology

Transcript

  1. - Zend Certified (PHP) Engineer; - iMasters Certified PHP Professional;

    - Criador de bugs na SOCi; - Instrutor na Alura Cursos Online; Quem é Vinicius Dias? LinkedIn: /in/cviniciussdias Twitter: @cviniciussdias Blog: https://dias.dev/ YouTube: Dias de Dev
  2. Dê Feedback Nenhuma apresentação é perfeita e nós que criamos

    conteúdo sabemos disso. Nossa intenção é transmitir conhecimento da melhor forma possível e sua opinião é muito importante para isso.
  3. 06 Agenda O que todos já devem saber. Rápido detalhe

    sobre senhas. Upload de arquivos. Criptografia: encriptação. 01 Cookies e sessões. Referências e conclusão 02 03 04 05
  4. O que todos já devem saber <p> Como armazenar senhas,

    evitar SQL Injection e lidar com dados externos. </p>
  5. <p> O algoritmo usado para armazenar as senhas pode mudar

    com o tempo. Lide corretamente com isso. </p> Rápido detalhe sobre senhas
  6. Cookies e sessões <p> Como configurar corretamente o envio de

    cookies, e gerenciar sessões de forma correta. </p>
  7. Parâmetros de cookies • Expires • Max-Age • Domain •

    Path • Secure • HttpOnly • SameSite ◦ Strict ◦ Lax ◦ None
  8. Configurações no PHP.ini • session.cookie_lifetime • session.cookie_path • session.cookie_domain •

    session.cookie_secure • session.cookie_httponly • session.cookie_samesite
  9. Upload de arquivos <p> Como se proteger ao receber arquivos

    enviados pelos usuários de sua aplicação. </p>
  10. Lidar com entrada de nomes • Ter uma allow-list de

    arquivos • Recuperar somente o nome, sem caminho
  11. <p> Como armazenar dados sensíveis de seus clientes nos bancos

    de dados. </p> Criptografia: Encriptação