Segurança com PHP: O mínimo que todo DEV deve saber

Transcript

1. Segurança com PHP. <?php echo "O mínimo que todo dev

   deve saber.";

2. - Zend Certified (PHP) Engineer; - iMasters Certified PHP Professional;

   - Criador de bugs na SOCi; - Instrutor na Alura Cursos Online; Quem é Vinicius Dias? LinkedIn: /in/cviniciussdias Twitter: @cviniciussdias Blog: https://dias.dev/ YouTube: Dias de Dev

3. # Dias de Dev

4. None

5. Dê Feedback Nenhuma apresentação é perfeita e nós que criamos

   conteúdo sabemos disso. Nossa intenção é transmitir conhecimento da melhor forma possível e sua opinião é muito importante para isso.

6. 06 Agenda O que todos já devem saber. Rápido detalhe

   sobre senhas. Upload de arquivos. Criptografia: encriptação. 01 Cookies e sessões. Referências e conclusão 02 03 04 05

7. O que todos já devem saber <p> Como armazenar senhas,

   evitar SQL Injection e lidar com dados externos. </p>

8. <h2>Evitando SQL Injection</h2> Só não usar SQL :-p

9. Consultas SQL com input

10. Consultas SQL com input

11. Prepared statements

12. <h2>Lidando com dados externos</h2> Nunca confie em ninguém

13. Entrada de dados externos

14. Entrada de dados externos

15. Filtre entradas e escape saídas

16. Filtre entradas e escape saídas

17. <h2>Armazenando senhas</h2> Criptografia, né!?

18. Senhas são guardadas como HASH

19. API de senhas do PHP

20. Segundo parâmetro • PASSWORD_DEFAULT • PASSWORD_BCRYPT • PASSWORD_ARGON2I • PASSWORD_ARGON2ID

21. <p> O algoritmo usado para armazenar as senhas pode mudar

    com o tempo. Lide corretamente com isso. </p> Rápido detalhe sobre senhas

22. Refazendo o hash de senhas

23. Cookies e sessões <p> Como configurar corretamente o envio de

    cookies, e gerenciar sessões de forma correta. </p>

24. <h2>Configurando sessão</h2> Cuidados com o cookie

25. Parâmetros de cookies • Expires • Max-Age • Domain •

    Path • Secure • HttpOnly • SameSite ◦ Strict ◦ Lax ◦ None

26. Configurações no PHP.ini • session.cookie_lifetime • session.cookie_path • session.cookie_domain •

    session.cookie_secure • session.cookie_httponly • session.cookie_samesite

27. Dificultando o sequestro de sessões

28. Problema com session_regenerate_id

29. <h2>Configurando demais cookies</h2> Mesmos parâmetros

30. Parâmetros de cookies

31. Upload de arquivos <p> Como se proteger ao receber arquivos

    enviados pelos usuários de sua aplicação. </p>

32. Lidar com entrada de nomes

33. Lidar com entrada de nomes • Ter uma allow-list de

    arquivos • Recuperar somente o nome, sem caminho

34. Lidar com entrada de nomes

35. Funções / classes que podem te salvar • pathinfo •

    finfo

36. Upload malicioso

37. <p> Como armazenar dados sensíveis de seus clientes nos bancos

    de dados. </p> Criptografia: Encriptação

38. O que não podemos expor • CPF • Tokens externos

39. Encriptação na prática

40. Referências • https://externals.io/message/120993 • https://php.net/security • Playlist “Segurança da Informação”

    • PHP do jeito certo

41. Dúvidas? Não? Obrigado!