6 métodos PHP que devem ser evitados para um código mais seguro
Backend, Desenvolvimento, Desenvolvimento, Para Magenteiros
Publicado em 11 de junho de 2019
Toda linguagem de programação evolui, e com o passar do tempo alguns métodos vão tendo suas vulnerabilidades descobertas e expostas.
Como desenvolvedores Magento, e consequentemente desenvolvedores PHP, é nossa obrigação evoluir junto com estas mudanças.
Quando o assunto é comércio eletrônico, a segurança deve ser algo ainda mais evidente em nossos planos.
Usar recursos PHP conhecidos por terem exploits divulgados, ou não seguros, podem levar a execução de códigos de terceiros ou a uma baixa criptografia. Como desenvolvedor você deve evitar usar estes recursos que trazem vulnerabilidades ao seu código.
Métodos PHP a serem evitados
- md5 – Usado para criptografar dados. Seu algoritmo de hash tornou-se conhecido e muitos sites criaram bases para fazer a reversão destes dados, tornando-o popularmente fraco.
- serialize e unserialize – Usado geralmente para converter qualquer objeto php em uma string. No entanto, já existem exploits que permitem serializar objetos para executar códigos arbitrariamente em uma aplicação.
- eval – Permite executar um código PHP. É considerado uma prática ruim pois em sua essência permite executar códigos PHP arbitrariamente.
- srand – Usado em conjunto com outros métodos que geram números aleatórios (como rand). No entanto, usar este método pode trazer números esperados e não tão aleatórios assim.
- mt_srand – Usado para alimentar o mt_rand. Ambos não devem ser usados para gerar dados aleatórios para fins de criptografia, pois trazem valores que podem ser previsíveis.
Indo além
Há muito mais por trás da segurança e métodos PHP. O Magento e o Symfony (parte das dependências do Magento 2) fornecem vários métodos que estendem estas e outras funcionalidades do PHP, mas trazendo segurança.
Nos links acima você encontrará alguns sites bem conhecidos para quem quer navegar a fundo nos tipos de brechas e falhas de segurança.
Conclusão
Embora seja importante evitarmos métodos PHP inseguros, a maior parte das invasões a lojas Magento ocorrem em falhas de segurança conhecidas e já corrigidas em patches e em novas versões.
E isso é facilmente corrigido mantendo seu Magento atualizado, assim como seus módulos e dependências. Veja como atualizar sua loja Magento 1, ou como atualizar uma loja Magento 2 no curso de Magento 2.
Artigo inspirado em Writing secure code da própria Magento (em Inglês).
Imagem destaque por Robinraj Premchand do Pixabay
- PagSeguro (PagBank) para Magento 1 recebe a Nova Geração - 9 de abril de 2024
- Recorrência no WooCommerce Sem Plugins Pagos - 28 de janeiro de 2024
- Chargeback. O que é, e como se livrar deles. - 19 de dezembro de 2023
Deixe seu comentário
[fbcomments url="https://www.magenteiro.com/blog/para-magenteiros/6-metodos-php-que-devem-ser-evitados-para-um-codigo-mais-seguro/"]