PHP Security Class 0.2

[Fvox]

Hi.

Essa classe tá bem básica, mas até que ficou legal, hehe.

Features:
-Filtro Anti XSS
-Anti PHP File Upload
-Anti Local File Inclusion (Novo!)
-Anti SQL Injection (POST ou GET)
-Anti Overflow (character limit)
-Grava logs com infos do usuário quando houver tentativa de hacking

Para utilizar no seu script:

Código Selecionar Expandir

<?php
include "security.php";
$sec = new Security;
?>


Source:

Código Selecionar Expandir

<?php
/* PHP Security Class v0.2
by fvox
[Collaps3 CREW] */
class Security
{
   private $max_chars = 3000; //max de caracteres para evitar overflow
   
   public function __construct(){
      try{
         foreach($_POST as $nome=>$value){
            $this->check($value);
         }
         foreach($_GET as $nome=>$value){
            $this->check($value);
         }
         foreach($_COOKIE as $nome=>$value){
            $this->check($value);
         }
         foreach($_FILES as $nome=>$value){
            if(preg_match("/\.php/i", $value['name'])){
               throw new Exception("PHP File Upload");
            }
         }
      }
      catch(Exception $err){
         $this->log($err, $nome);
         die("Hacking Attempt");
      }
   }
   
   private function log($err, $input){
      $fp = fopen("security.log","a");
      $data = "\n\n\n";
      $data .= "#####################\n";
      $data .= "Error:" .$err->getMessage() ."\n";
      $data .= "Input: ".$_SERVER['QUERY_STRING']."\n";
      $data .= "IP: ".$_SERVER['REMOTE_ADDR']."\n";
      $data .= "#####################\n";
      fwrite($fp, $data);
      fclose($fp);
   }
   
   public function check($input){
      if(strlen($input) > $this->max_chars){
         throw new Exception("Overflow");
      }
      elseif(preg_match("/\.\.\//i",$input)){
         throw new Exception("Local File Inclusion");
      }
      elseif(preg_match("/[^\sa-zA-Z0-9]/i",$input)){
         throw new Exception("SQL Injection");
      }
   }
         
   public function filtro($input){
      return addslashes(htmlentities($input));
   }
}

$fvox = new Security;
?>


Se acharem algum bug, só postar aqui.  ;)
*Valeu branco pelos links de OOP, ajudou bastante, LOL.

[]'s

[branco]

to desanimado de verificar o código...3:40 agora, ja to indo dormir...
de qualquer forma, parabéns assim mesmo, pelos estudos de POO ^^
tem uma diretiva no php ini que esqueci o nome... da pra vc auto incluir esse script em todas as páginas... fica mais comodo eu acho.

vlws, até mais

[JotaC]

Isso ajudou muito!
Vlw  :D

[Triplo X]

Massa é aqui:

Código Selecionar Expandir


<?php
// certifica para que o formulario seja enviado apenas de meu servidor
    if(!(isset($_SERVER['HTTP_REFERER']) &&
    stristr($_SERVER['HTTP_REFERER'],$_SERVER['HTTP_HOST']))) {
    $serverInvalido=true;
    echo '<center><font color="#000000" size="4" face="arial">Voce nao tem permissao para fazer isso!<p></font></center>';
    }

   // proibe a postagem de links em um formulario, por exemplo
    elseif (preg_match_all("/<a|http:/i", implode($_POST), $out) > 0) {
    echo '<center><font color="#000000" size="4" face="arial">Eh proibido postar qualquer link neste formulario!</font></center>';
   // exit;  ela encerra o codigo nesta linha
    }
?>

Isso evita span, por exemplo ;)

até

[S3ijy]

Muito bom mesmo! Fácil de Implementar, mas faz uma diferença considerável!
Agora tem que alguém tentar vencer isso, pra forçar melhoras no código! E que o ciclo se repita!

Vlw!
S3ijy

[shake]

Poxa parabéns pela idéia!
Vai ajudar bastante!

Abraço