Validação e Sanitização em Aplicações Web

Rui Trigo — Tue, 26 Nov 2024 23:13:41 +0000

O Que São e Por Que São Cruciais?

A validação e sanitização são, sem sombra de dúvida, um dos pilares da segurança em aplicações web. Enquanto a validação verifica se os dados recebidos estão no formato esperado, a sanitização limpa e transforma esses dados para garantir que são seguros para processamento.

Validação

Por um lado, a validação é como um porteiro rigoroso que verifica se tens bilhete antes de entrar no espetáculo. Verifica o tipo, o formato e o conteúdo dos dados recebidos. Vejamos um exemplo de código vulnerável sem validação:

$idade = $_POST['idade'];
$query = "SELECT * FROM utilizadores WHERE idade = $idade";

Este código é um convite aberto a ataques de injeção SQL, pois o input pode facilmente manipular o comportamento da query. Em vez disso, deverias fazer algo como:

$idade = filter_var($_POST['idade'], FILTER_VALIDATE_INT);
if ($idade === false || $idade === null) {
    echo("Idade inválida");
}

// Cria uma conexão
$conn = new mysqli($servername, $username, $password, $dbname);

// Executa um Prepared Statement
$stmt = $conn->prepare("INSERT INTO utilizadores (idade) VALUES (?)");
$stmt->bind_param("i", $idade);

PHP Wiki | filter_var() — Filters a variable with a specified filter

Sanitização

Por outro lado, a sanitização é como um filtro de água que remove impurezas. Transforma dados potencialmente perigosos em formatos seguros. Vejamos outro exemplo vulnerável:

$nome = $_GET['nome'];
echo "Olá, $nome!";

Este código pode levar a um ataque XSS. Uma versão sanitizada seria:

$nome = htmlspecialchars($_GET['nome']);
echo "Olá, $nome!";

O efeito esperado é a conversão dos caracteres "&, ', ", <, >" para o seu equivalente em HTML ENTITIES, ou seja, eles tornam-se meramente símbolos visuais sem efeito algum em termos de código interpretado pelo browser.

PHP Wiki | htmlspecialchars() — Convert special characters to HTML entities

Validação do Lado do Cliente

É importante notar que, embora a validação do lado do cliente seja útil para melhorar a experiência do utilizador, nunca é suficiente para garantir a segurança. Afinal de contas, um atacante pode facilmente contornar essas verificações. Por isso, a validação do lado do servidor é imprescindível.

Desta maneira, nem toda a sanitização é igual. Dependendo do contexto onde os dados serão utilizados, diferentes técnicas devem ser aplicadas. Por exemplo, dados que serão inseridos numa base de dados SQL requerem uma sanitização diferente daqueles que serão exibidos numa página HTML.

Não Reinventes a Roda

Felizmente, não precisas de criar todas estas proteções do zero. Existem inúmeras bibliotecas e frameworks que oferecem funções robustas de validação e sanitização. Contudo, é crucial compreender como funcionam para as utilizar corretamente.

Por fim, mas não menos importante, realizar "pentests" regularmente é fundamental. Estes testes simulam ataques reais e podem revelar falhas que passaram despercebidas. Lembra-te: é melhor descobrires as vulnerabilidades antes dos atacantes. Se tens iniciativa de o fazer, podes começar por listar a tua empresa numa plataforma Bug Bounty, onde hackers éticos reportam falhas na tua aplicação em troca de remuneração.

Fundamentos da Segurança em Aplicações Web

Rui Trigo — Tue, 26 Nov 2024 22:37:53 +0000

A Importância da Segurança Digital

Nos dias que correm, a segurança em aplicações web é absolutamente crucial. Desta maneira, à medida que o mundo digital evolui, os riscos associados também aumentam. Portanto, é fundamental compreendermos os alicerces desta área.

Autenticação e Autorização

A autenticação e a autorização são, sem dúvida, um dos pilares da segurança web. Por um lado, a autenticação garante que és quem dizes ser. Por outro, a autorização determina o que podes fazer no sistema. Juntas, formam uma barreira robusta contra acessos não autorizados.

Encriptação

A encriptação é como um cofre digital para a tua informação. Transforma dados legíveis em código indecifráveis para olhos curiosos. Desta forma, mesmo que alguém intercepte a tua informação, não conseguirá lê-la sem a chave adequada.

Gestão de Sessões

Imagina a gestão de sessões como um porteiro vigilante. Esta não só verifica quem entra, mas também quanto tempo pode ficar. Esta prática previne que sessões abandonadas se tornem portas abertas para intrusos na aplicação web.

Validação de Input

Na web, a regra de ouro é: nunca confies nos dados do utilizador. A validação de inputs é como um detector de mentiras para a tua aplicação. Verifica tudo o que entra, através de validação e sanitização, assegurando dados esperados e não conflituosos com o teu sistema.

Atualizações e Patches

Tal como fazes manutenção à tua casa, as aplicações web precisam de cuidados regulares. As atualizações e patches são como reparações que tapam buracos de segurança antes que os "hackers" abusem deles.

Monitorização e Logging

Por fim, a monitorização e o logging são os teus olhos e ouvidos digitais. Registam tudo o que se passa na tua aplicação, permitindo-te detetar e reagir perante qualquer atividade suspeita.

DEV Community: Rui Trigo