6 métodos PHP que devem ser evitados para um código mais seguro

Toda linguagem de programação evolui, e com o passar do tempo alguns métodos vão tendo suas vulnerabilidades descobertas e expostas.

Como desenvolvedores Magento, e consequentemente desenvolvedores PHP, é nossa obrigação evoluir junto com estas mudanças.

Quando o assunto é comércio eletrônico, a segurança deve ser algo ainda mais evidente em nossos planos.

Usar recursos PHP conhecidos por terem exploits divulgados, ou não seguros, podem levar a execução de códigos de terceiros ou a uma baixa criptografia. Como desenvolvedor você deve evitar usar estes recursos que trazem vulnerabilidades ao seu código.

Métodos PHP a serem evitados

• md5 – Usado para criptografar dados. Seu algoritmo de hash tornou-se conhecido e muitos sites criaram bases para fazer a reversão destes dados, tornando-o popularmente fraco.
• serialize e unserialize – Usado geralmente para converter qualquer objeto php em uma string. No entanto, já existem exploits que permitem serializar objetos para executar códigos arbitrariamente em uma aplicação.
• eval – Permite executar um código PHP. É considerado uma prática ruim pois em sua essência permite executar códigos PHP arbitrariamente.
• srand – Usado em conjunto com outros métodos que geram números aleatórios (como rand). No entanto, usar este método pode trazer números esperados e não tão aleatórios assim.
• mt_srand – Usado para alimentar o mt_rand. Ambos não devem ser usados para gerar dados aleatórios para fins de criptografia, pois trazem valores que podem ser previsíveis.

Indo além

Há muito mais por trás da segurança e métodos PHP. O Magento e o Symfony (parte das dependências do Magento 2) fornecem vários métodos que estendem estas e outras funcionalidades do PHP, mas trazendo segurança.

Nos links acima você encontrará alguns sites bem conhecidos para quem quer navegar a fundo nos tipos de brechas e falhas de segurança.

Conclusão

Embora seja importante evitarmos métodos PHP inseguros, a maior parte das invasões a lojas Magento ocorrem em falhas de segurança conhecidas e já corrigidas em patches e em novas versões.

E isso é facilmente corrigido mantendo seu Magento atualizado, assim como seus módulos e dependências. Veja como atualizar sua loja Magento 1, ou como atualizar uma loja Magento 2 no curso de Magento 2.

Artigo inspirado em Writing secure code da própria Magento (em Inglês).

Imagem destaque por Robinraj Premchand do Pixabay

• Sobre
• Últimos Posts

Ricardo Martins

É desenvolvedor web há 16 anos e um dos primeiros certificados pela Magento no Brasil. Instrutor de mais de 11 cursos Magento (os principais no magenteiro.com/cursos) com mais de 14 mil alunos de 105 países, é também criador do módulo PagSeguro Transparente, usado em mais de 12 mil lojas.

Últimos posts por Ricardo Martins (exibir todos)

• PagSeguro (PagBank) para Magento 1 recebe a Nova Geração - 9 de abril de 2024
• Recorrência no WooCommerce Sem Plugins Pagos - 28 de janeiro de 2024
• Chargeback. O que é, e como se livrar deles. - 19 de dezembro de 2023