none
Segurança IIS+PHP RRS feed

  • Pergunta

  • Boa noite,

    Pessoal, como tem sido a forma usual de proteção para um servidor web IIS rodando PHP? Tem que se tomar cuidados a mais?

    No Forefront TMG tem que se publicar cada site para que ele fique disponível online? Qual a melhor prática em ambiente de host?

    Muito obrigado pela anteção e ajuda!


    Atenciosamente, Thiago Silva
    terça-feira, 4 de outubro de 2011 21:47

Respostas

Todas as Respostas

  • Não sou um especialista em PHP, mas eu diria que você tem que usá-lo junto com o IIS 7.5. Com essa versão é possível usar de recursos muito interessantes, como o módulo de Request Filtering, URL Rewrite e/ou Dynamic IP Restrictions que vão te dar um nível de proteção a mais. Além disso, mais importante que proteger o lado do servidor web, é importante ter uma aplicação bem escrita que não esteja vulnerável a ataques do tipo SQL Injection, Cross Site Scripting, etc.

    Recomendo você procurar na web um guia de desenvolvimento de código seguro com o PHP, que talvez vc encontre dicas adicionais.
    Uma pesquisa rápida me trouxe o seguinte: http://www.bing.com/search?q=php+security+best+practices&go=&qs=AS&sk=AS2&pq=php+security&sp=3&sc=8-12&form=QBLH 

    Att.,


    Paulo Teixeira - PFE
    • Marcado como Resposta Tsgoncalves quinta-feira, 6 de outubro de 2011 14:16
    quarta-feira, 5 de outubro de 2011 01:13
  • Apenas complementando a resposta do Paulo, veja este link: http://iisbrasil.wordpress.com/2011/04/13/boas-praticas-de-seguranca-com-o-php-ini/

     

    []s


    Erick Albuquerque | Microsoft MVP
    MVP Profile | Twitter | Linkedin | http://iisbrasil.wordpress.com
    • Marcado como Resposta Tsgoncalves quinta-feira, 6 de outubro de 2011 14:16
    quarta-feira, 5 de outubro de 2011 14:22
    Moderador
  • Caro Paulo,

    Minha visão não é relacionada ao código em si, mas sim ao servidor que possuem diversos clientes que colocam seus conteúdos on line. Então seria uma proteção mais focada no geral, como o firewall. Com isto queria saber se é necessário algum cuidado a mais ao lidar com a linguagem PHP em um servidor IIS, bem como as melhores práticas para isto. Muito obrigado pelas dicas.


    Atenciosamente, Thiago Silva
    quarta-feira, 5 de outubro de 2011 14:23
  • Entendido Thiago,

    acho que é importante deixar claro que ter um firewall, antivirus, ou IDS não irá proteger a sua aplicação, seja PHP, ASP, ASP.NET, etc. Hoje em dia, os ataques são mais focados na aplicação do que em ataques ao servidor web. Por isso é importante se proteger contra ataques de SQL Injection, Cross Site Scripting, e outros.

    Att.,


    Paulo Teixeira - PFE
    • Marcado como Resposta Tsgoncalves quinta-feira, 6 de outubro de 2011 14:16
    quinta-feira, 6 de outubro de 2011 03:06