Re: [ PHP - Google ] Problemas com o PHP

[Jansen Nunes]

Vc pega assim do outro lado??


print_r($_GET);

É isso?

Em 26 de julho de 2012 13:56, Vinícius Bueno <vi.b...@gmail.com> escreveu:

Boa tarde Pessoal,

Estou fazendo um site, e me deparei com um problema. Desenvolvi ele na minha hospedagem, até que o cliente conseguisse fazer as coisas na hospedagem dele, pois bem.

Quando fui colocar na hospedagem dele, não funciona nada.

Depois de um tempo quebrando a cabeça, achei o possível erro. Eu coloco as variáveis todas em url, e pego no código, mas não precisei fazer isso pelo método get, pois ela já vinha sem precisar colocar get, ai chegando na hospedagem do cliente, só consigo pegar a variável colocando o get, e para mudar o meu sistema todo para pegar por get, irei demorar muito tempo, e estou sem esse tempo no momento.

Queria saber se vc's sabem se é alguma configuração que tenho que fazer, ou se vou ter que mudar meu sistema mesmo, e o site?

Os exemplos estão aqui, a minha hospedagem, e o sistema funcionando estão aqui: http://multilevels.viniciusbueno.com/ e a hospedagem do meu cliente onde não está funcionando o site é esse aqui: http://www.multilevels.co.uk/.

Aguardo um retorno.

Obrigado pessoal.

--
============================================================
JQUERY MAGAZINE > http://www.jquerymagazine.com.br
--
PHP MAGAZINE > http://www.phpmagazine.com.br
--
LISTA NODE.JS > https://groups.google.com/group/lista-nodejs?hl=pt-br
--
AJAX-BRASIL > http://groups.google.com/group/ajax-brasil
--
PYTHON-GOOGLE > http://groups.google.com.br/group/python-google
--
DOTNET-BRASIL > http://groups.google.com.br/group/dotnet_br
============================================================

--
Jansen

[Vinícius Bueno]

Não não, pego diretamente!

echo $idioma;

Vinícius Bueno
11 65535023
vi.b...@gmail.com

www.viniciusbueno.com

[rodrigo lima]

isso não tem a ver com o register_globals?

Em 26 de julho de 2012 15:29, Jansen Nunes <jansen...@gmail.com> escreveu:

[Bruno Gasparetto]

http://br2.php.net/manual/en/ini.core.php#ini.register-globals 

register globals está desligada, como é o correto.

Sugestão: refaça o seu sistema para funcionar do jeito correto ao invés de usar register globals.

Em 26 de julho de 2012 12:56, Vinícius Bueno <vi.b...@gmail.com> escreveu:

Boa tarde Pessoal,

Estou fazendo um site, e me deparei com um problema. Desenvolvi ele na minha hospedagem, até que o cliente conseguisse fazer as coisas na hospedagem dele, pois bem.

Quando fui colocar na hospedagem dele, não funciona nada.

Depois de um tempo quebrando a cabeça, achei o possível erro. Eu coloco as variáveis todas em url, e pego no código, mas não precisei fazer isso pelo método get, pois ela já vinha sem precisar colocar get, ai chegando na hospedagem do cliente, só consigo pegar a variável colocando o get, e para mudar o meu sistema todo para pegar por get, irei demorar muito tempo, e estou sem esse tempo no momento.

Queria saber se vc's sabem se é alguma configuração que tenho que fazer, ou se vou ter que mudar meu sistema mesmo, e o site?

Os exemplos estão aqui, a minha hospedagem, e o sistema funcionando estão aqui: http://multilevels.viniciusbueno.com/ e a hospedagem do meu cliente onde não está funcionando o site é esse aqui: http://www.multilevels.co.uk/.

Aguardo um retorno.

Obrigado pessoal.

--
============================================================
JQUERY MAGAZINE > http://www.jquerymagazine.com.br
--
PHP MAGAZINE > http://www.phpmagazine.com.br
--
LISTA NODE.JS > https://groups.google.com/group/lista-nodejs?hl=pt-br
--
AJAX-BRASIL > http://groups.google.com/group/ajax-brasil
--
PYTHON-GOOGLE > http://groups.google.com.br/group/python-google
--
DOTNET-BRASIL > http://groups.google.com.br/group/dotnet_br
============================================================

--

Bruno Gasparetto

[Vinícius Bueno]

Então,

Hoje a minha hospedagem é a hostgator, e isso funcionou sem eu precisar mexer em nada. Pelas pesquisas que eu fiz, e por anos e anos trabalhando com hospedagem que me deram muitos problemas, encontrei na hostgator um retorno ótimo, e sem problemas.

Eu sei que o melhor jeito é fazer com o get, mas no momento não terei como mexer no site, e admin inteiro para mudar isso, então por isso estou buscando uma alternativa para mudar isso, e finalizar o trabalho.

Agradeço a ajuda de todos, irei verificar se mudando isso o meu sistema funciona na hospedagem do cliente. E obrigado pelo toque, assim que aparecer um tempinho irei fazer os gets no site, pq esse site terá outras coisas para desenvolvimento.

Obrigado pessoal.

[Fernando Wobeto]

Entendi,

você devia ter se preocupado com isso, é básico hoje por questão de segurança.

a configuração no servidor o php.ini está configurado  para register_globals = off

em seu servidor está on.

Dificilmente a hospedagem do seu cliente irá mudar esta configuração.

Em 26 de julho de 2012 15:29, Jansen Nunes <jansen...@gmail.com> escreveu:

[Fernando Wobeto]

Uma solução menos sofrida para você é no início do documento você colocar:

extract($_GET);

http://www.php.net/manual/en/function.extract.php

[Jansen Nunes]

Melhor não. Muito arriscado!

2012/7/30 Eduardo Jansen <eduardo...@gmail.com>

Dependendo do seu host você pode configurar um php.ini específico para sua conta ativando o register_globals

Em sexta-feira, 27 de julho de 2012 09h03min25s UTC-3, Daniel escreveu:

eu uso sempre $_REQUEST, se precisar pegar especificamente por GET ou POST uso especifico. Mas no geral o REQUEST é muito mais tranquilo.

--
============================================================
JQUERY MAGAZINE > http://www.jquerymagazine.com.br
--
PHP MAGAZINE > http://www.phpmagazine.com.br
--
LISTA NODE.JS > https://groups.google.com/group/lista-nodejs?hl=pt-br
--
AJAX-BRASIL > http://groups.google.com/group/ajax-brasil
--
PYTHON-GOOGLE > http://groups.google.com.br/group/python-google
--
DOTNET-BRASIL > http://groups.google.com.br/group/dotnet_br
============================================================

--
Jansen

[Rafael Ranzolin Pedroso]

Qual o desvantagem do  $_REQUEST[] ?

Att,
Rafael Ranzolin Pedroso

[Rubens Takiguti Ribeiro]

Concordo com o Bruno: o ideal é refazer o sistema para receber variáveis da forma recomendada.

Kinucris: a função import_request_variables faz isso que você fez em menos linhas.

http://br.php.net/manual/en/function.import-request-variables.php

// Para importar GET e POST para o escopo global
import_request_variables('gp');

Mas ela foi depreciada no PHP 5.3 e removida do PHP 5.4.

Rubens Takiguti Ribeiro
Bacharel em Ciência da Computação - UFLA
Zend Certified Engineer - PHP 5
http://rubsphp.blogspot.com.br/

2012/7/30 Rafael Ranzolin Pedroso <rafaelr...@gmail.com>

[Elvis Kinucris]

//Não sabia da existência desta função

import_request_variables('gp');

Mas o que vocês acham da minha solução? Usual ou vocês utilizam algo mais especifico ou com melhor desempenho que eu poderia usar também? rs

[Vinicius Rezende]

Qual o problema de usar $_REQUEST[]? [2]

[Alexandre Azevedo]

O problema é que se você usa o $_REQUEST[], você estará pegando tudo, Session, Cookies, Post, Get ... e com isso se você não tomar cuidado você acabar tendo problemas e alem do mais sua segurança fica com muitas falhas.

Imagina que você tem uma página para excluir dados e com isso vc criar duas ações com o mesmo nome e então invés de você por exemplo cadastrar o dado você exclui tudo do seu database....

Se vai usar GET usa $_GET

Se vai usar POST usa $_POST

Se vai usar SESSION usa $_SESSION

Se vai usar COOKIES usa $_COOKIES

ou seja usa as superglobais de acordo com a função que vai usar, e pra isso que elas servem.

att,
Alexandre Azevedo
Graduado em Sistema de Informação pela FIB
Graduando em Sistemas Para Internet pela Unifacs
Analista Desenvolvedor Web Junior
Contatos:
E-mail: alexandr...@gmail.com
msn:  alexandr...@hotmail.com
Skype: alexandreazevedo4
Tel: (71) 8738-6638 (tim) / 9662-4552 (vivo)
twitter: @_aaoliveira

[Rubens Takiguti Ribeiro]

Alexandre,

  Creio que seus argumentos não são fortes para abster o uso do $_REQUEST. Ele é um recurso do PHP, não está depreciado e não há nenhuma nota na documentação do php sobre o que você está afirmando.

  Quanto à segurança, não tem nada a ver com o fato de usar o $_REQUEST ou não. Tanto $_REQUEST quanto $_GET, $_POST ou $_COOKIES podem ser modificadas pelo usuário e precisam ser validadas ou sanitizadas para uso.

  Se ele gera confusão ou não, isso é problema do programador ou da estatégia adotada para acessar ações de inclusão/exclusão no mesmo script, e você pode até colocar sua opinião pessoal, mas não acho certo não recomendar algo na lista por uma questão de gosto pessoal.

  Eu, particularmente, não vejo problemas com o uso do $_REQUEST. Vejo como significado semântico para ela: "dados enviados pelo usuário, independente da forma".

  Obs: $_REQUEST não inclui $_SESSION por padrão.

Rubens Takiguti Ribeiro
Bacharel em Ciência da Computação - UFLA
Zend Certified Engineer - PHP 5
http://rubsphp.blogspot.com.br/

[Bruno Gasparetto]

Isso pega ainda mais se você começar a trabalhar com Restful. Tudo bem que isso seja para Web Services, mas já é bom se acostumar ;)

Bruno Gasparetto

[Elvis Kinucris]

Não é seguro...

Vou tentar exemplificar...

Você tem duas páginas

- login.php

- verifica.php

Na página login há apenas dois campos (User/Pass)

Na página verifica.php tem um $pass = $_REQUEST['pass']

Onde a informação viria via $_POST[] digitado na página anterior

Mas ai alguém mal intencionado tenta colocar no final da sua url após tentar fazer login sem sucesso

SuaUrl/verifica.php?pass=<Informação maliciosa>

E ele consegue criar um script que fique tentando acessar está sua página e digitando combinações, ou ainda pode inserir um SQL para tentar exibir as senhas salvas no banco...

Porque seu arquivo verifica.php vai estar pegando tanto faz (GET/POST) [pass]...

Acho que meu exemplo não ficou muito esclarecedor, mas pense comigo, se você tem certeza que a informação vai vir via $_POST[ ] pra que dar a opção para o user te enviar ela via $_GET[ ]?

Em 30 de julho de 2012 14:32, Vinicius Rezende <crazy...@gmail.com> escreveu:

[Elvis Kinucris]

Concordo plenamente com o  Alexandre Azevedo 

Talvez eu tenha dado um péssimo exemplo, mas é isso ae...

Se vai usar GET usa $_GET

Se vai usar POST usa $_POST

Se vai usar SESSION usa $_SESSION

Se vai usar COOKIES usa $_COOKIES

Se podemos fazer as coisas certas, vamos assim as fazer...

2012/7/30 Elvis Kinucris <elvis...@gmail.com>

[Rubens Takiguti Ribeiro]

Elvis,

  O tratamento de sql injection deve ser feito independente do tipo de variável vinda do usuário. Não tem nada a ver com o uso do $_REQUEST.

  Sobre a possibilidade de um usuário tentar descobrir a senha de outro pela URL, isso também seria possível se alguém submetesse a senha pelo formulário. É possível fazer scripts para tentar descobrir a senha, independente da forma como está recebendo os dados pelo PHP.

  Sobre o que o Bruno disse, faz todo sentido. Em Rest, os métodos HTTP utilizados tem semântica sobre a ação.

  Porém, como eu disse, $_REQUEST também tem seu significado na aplicação web convencional e não deve ser evitado apenas pelo gosto de alguns programadores.

Rubens Takiguti Ribeiro
Bacharel em Ciência da Computação - UFLA
Zend Certified Engineer - PHP 5
http://rubsphp.blogspot.com.br/

2012/7/30 Elvis Kinucris <elvis...@gmail.com>

[Elvis Kinucris]

Mas concordamos que $_REQUEST se aplica apenas em certas aplicações, como a que você disse em seu comentário... "Quando se quer pegar um determinado valor do user independente da forma que ele esteja enviando" mas agora na maioria dos casos se você pretende pegar o dado do $_POST[] de um formulário, concorda que seria melhor se usasse o $_POST[ ] por exemplo? Ou se quiser pegar um determinado valor vindo de um $_GET[ ] seria mais 'interessante' se usar o $_GET[ ]?

Eu desconheço qualquer informação sobre "Restful" se vocês puderem explicar a respeito, ficaria grato.

[Rafael Ranzolin Pedroso]

Concordo com o Rubens, ao meu ver se é um recurso do php, está lá para ser utilizado.

Rafael Ranzolin Pedroso
Programador Senior I
(54) 9934-5547

Carazinho/RS, Passo Fundo/RS

[Cassiano Ricardo Mourão]

Eu particularmente acho que a nível de legibilidade e aferição de informações, deve-se utilizar as super-variáveis sempre que possível.

Isso de "está disponível na linguagem então eu vou usar" não deve ser muito levado à risca não... Um exemplo banal é a supressão de erros com o @, que imagino todos aqui concordarem de se evitar o uso.

[William Brandino]

 "está disponível na linguagem então eu vou usar" ...

Então se aprova o uso do GoTo() ?? Claro que não.

Em meus sistemas uso o $_REQUEST por simples fato de uso ser o mesmo, mas faço tratamentos para receber, como uma função GET_POST() que crio.

[Rubens Takiguti Ribeiro]

Eu não disse que "se está na linguagem tem que usar".

Eu disse que a documentação do PHP costuma alertar sobre oque é depreciado e o $_REQUEST não é uma delas.

De fato, se a aplicação quer receber um dado apenas por GET, use o $_GET, claro. Mas também concordo que se a aplicação quer receber um dado por qualquer via (GET, POST ou COOKIE), então não há problema algum em usar o $_REQUEST.

Sobre legibilidade, $_REQUEST também é uma super-global e é legivel, pois a semântica dela é "um dado vindo da requisição do usuário". Ela só é mais abrangente que o $_GET, $_POST e $_COOKIE.

Aliás, William, eu aprovo o uso do GoTo que foi adicionado no PHP 5.3. Ele tem limitações exatamente para não prejudicar a legibilidade do código, que é a principal crítica recebida pelo recurso em linguagens estruturadas. É comum que se aprenda "GOTO é a pior coisa do mundo, nunca usem essa porcaria", mas é preciso ter uma visão crítica sobre o porquê ele foi criticado e como usá-lo de forma inteligente. Pois se formos levar a risca, um "switch" é um tipo de "goto" e nem por isso é indesejável.

Rubens Takiguti Ribeiro
Bacharel em Ciência da Computação - UFLA
Zend Certified Engineer - PHP 5
http://rubsphp.blogspot.com.br/

[Alexandre Azevedo]

Compreendo que se tratando de aplicações web, sempre estaremos vulneráveis a ataques maliciosos, e também entendo que se o PHP nos permiti usar tal recurso no caso o $_REQUEST e pra usar, mais mesmo sendo gosto ou não e preciso que a pessoa entende que o existe melhores praticas a ser utilizada e eu acredito que o $_REQUEST não seja uma delas.

Portando como já foi falado por aqui: Quem deve decidir o que vai usar o programador, mais ele fique  ciente que a aplicação terar muitas chances falhas, e tem também caso de que se ele se preocupa com a performace da aplicação aconcelho não usar o  $_REQUEST.

att,
Alexandre Azevedo
Graduado em Sistema de Informação pela FIB
Graduando em Sistemas Para Internet pela Unifacs
Analista Desenvolvedor Web Junior
Contatos:
E-mail: alexandr...@gmail.com
msn:  alexandr...@hotmail.com
Skype: alexandreazevedo4
Tel: (71) 8738-6638 (tim) / 9662-4552 (vivo)
twitter: @_aaoliveira

Em 30 de julho de 2012 15:48, Rafael Ranzolin Pedroso <rafaelr...@gmail.com> escreveu:

[jean...@gmail.com]

Olá Pessoal,

A parte que me interessou foi sobre SQL Injection. Nada melhor para cuidar de SQL Injection do que (é claro), validar as entradas do usuário e ainda assim utilizar instruções preparadas.

É exatamente isto que diz no manual do PHP em http://br.php.net/manual/en/pdo.prepared-statements.php

The parameters to prepared statements don't need to be quoted; the driver automatically handles this. If an application exclusively uses prepared statements, the developer can be sure that no SQL injection will occur (however, if other portions of the query are being built up with unescaped input, SQL injection is still possible).

Em tradução livre:

Os parâmetros enviados para a instrução preparada não precisam ser escapados; o driver cuida automaticamente disto. Se uma aplicação utilizar exclusivamente instruções preparadas, o desenvolvedor pode ter certeza que não acontecerá ataque de SQL Injection (contudo, se outras partes da query for feita com dados não escapados, SQL Injection ainda é possivel).

Só para salientar que é esta a mais segura atitude contra SQL Injection com PHP.

Abraços,

Jean

Em 30 de julho de 2012 18:11, Daniel <danie...@gmail.com> escreveu:

Primeiro argumento furado: se for POST ou GET tanto faz, você é quem tem que preocupar em fazer os devidos tratamentos, ou seja, pro REQUEST tanto faz.

Segundo argumento furado: SQL Injection, no MySql pelo menos, trata-se com mysql_real_scape_string (isso deve ser obrigatório pra qualquer requisição ao banco que venha de uma variável).

Terceiro argumento furado: Brute Force, ou você coloca um contador na sessão e mata as requisições a partir de N tentativas ou a partir de N tentativas você apresenta ao "tal" script um Captcha.

Se for POST por exemplo, o usuário espertinho editar o html da sua página e insere qualquer coisa no input

--
============================================================
JQUERY MAGAZINE > http://www.jquerymagazine.com.br
--
PHP MAGAZINE > http://www.phpmagazine.com.br
--
LISTA NODE.JS > https://groups.google.com/group/lista-nodejs?hl=pt-br
--
AJAX-BRASIL > http://groups.google.com/group/ajax-brasil
--
PYTHON-GOOGLE > http://groups.google.com.br/group/python-google
--
DOTNET-BRASIL > http://groups.google.com.br/group/dotnet_br
============================================================

--
Atenciosamente,
Jean Carlos

[Elvis Kinucris]

danie...@gmail.com 

Você poderia fazendo um grandessíssimo favor de falar mais a respeito sobre o Brute Force, com contator de sessão e talz... 

Eu digo um tutorial a parte ou enviar algum tipo de exemplo para o meu e-mail?

Desde já, muito obrigado.

Em 30 de julho de 2012 18:11, Daniel <danie...@gmail.com> escreveu:

Primeiro argumento furado: se for POST ou GET tanto faz, você é quem tem que preocupar em fazer os devidos tratamentos, ou seja, pro REQUEST tanto faz.

Segundo argumento furado: SQL Injection, no MySql pelo menos, trata-se com mysql_real_scape_string (isso deve ser obrigatório pra qualquer requisição ao banco que venha de uma variável).

Terceiro argumento furado: Brute Force, ou você coloca um contador na sessão e mata as requisições a partir de N tentativas ou a partir de N tentativas você apresenta ao "tal" script um Captcha.

Se for POST por exemplo, o usuário espertinho editar o html da sua página e insere qualquer coisa no input

--

[Rubens Takiguti Ribeiro]

Glauco:

1- Escrever $_REQUEST dá mais trabalho do que escrever $_GET ou $_POST, não acho que tenha a ver com preguiça. Tem a ver com a funcionalidade que está sendo desenvolvida.

2- O PHP não pode tirar o $_GET e o $_POST porque eles tem seu devido espaço. O $_REQUEST tem outro, e não é excludente.

3- Mesmo recebendo dados por $_POST, o sistema precisa validar ou sanitizar os dados recebidos. Então $_REQUEST não tem relação direta com a brecha de segurança, ele só permite que a brecha possa ser explorada por qualquer pessoa com o mínimo de conhecimento em PHP.

Então se existe alguma recomendação a se deixar para os programadores amadores, intermediários ou avançados desta lista, que seja: "tratem a entrada do usuário com validação ou sanitização" e não essa questão funcional, sobre usar ou não o $_REQUEST.

Rubens Takiguti Ribeiro
Bacharel em Ciência da Computação - UFLA
Zend Certified Engineer - PHP 5
http://rubsphp.blogspot.com.br/

Em 31 de julho de 2012 23:30, Glauco Maschio <glauco...@gmail.com> escreveu:

Olha.. sobre essa confusão do $_REQUEST ... pela minha experiência eu só uso em casos especificos. Quando realmente é necessário usar GET e POST.. e evitar voce ficar abrindo monte de IF para saber qual informação ta vindo. Já tive casos que uma informacao podia vir por formulario ou pelo navegador.. então usei essa funcao que solucionou meus problemas. maravilha.

fora isso, usem a função correta. esse negócio de generalizar, botar request pra tudo é coisa de programador preguicoso. desculpa.. mais é verdade.

se fosse assim o PHP deveria então tirar o GET e POST na proxima versão já que é pra usar o request em td.

concordo que há possibilidades grandes de falha de segurança usando request. não por culpa do PHP.. mais uma pagina mal programada abre brechas pro cara ir la no navegador, bem bonitao e meter uma variavel com um valor e pronto, feita a cagada, hehehe

Em quinta-feira, 26 de julho de 2012 13h56min04s UTC-3, Vinícius Bueno  escreveu:

> Boa tarde Pessoal,
>
>
> Estou fazendo um site, e me deparei com um problema. Desenvolvi ele na minha hospedagem, até que o cliente conseguisse fazer as coisas na hospedagem dele, pois bem.
>
>
> Quando fui colocar na hospedagem dele, não funciona nada.
> Depois de um tempo quebrando a cabeça, achei o possível erro. Eu coloco as variáveis todas em url, e pego no código, mas não precisei fazer isso pelo método get, pois ela já vinha sem precisar colocar get, ai chegando na hospedagem do cliente, só consigo pegar a variável colocando o get, e para mudar o meu sistema todo para pegar por get, irei demorar muito tempo, e estou sem esse tempo no momento.
>
>
> Queria saber se vc's sabem se é alguma configuração que tenho que fazer, ou se vou ter que mudar meu sistema mesmo, e o site?
>
>
> Os exemplos estão aqui, a minha hospedagem, e o sistema funcionando estão aqui: http://multilevels.viniciusbueno.com/ e a hospedagem do meu cliente onde não está funcionando o site é esse aqui: http://www.multilevels.co.uk/.
>
>
> Aguardo um retorno.
> Obrigado pessoal.

[Gaba]

Creio que usar $_REQUEST da brecha sim, mas realmente não é culpa do PHP e sim, como dizem, do programador, que não faz as validações.

Vamos supor um caso:

Uma página que recebe dados via POST, mas o programador usou $_REQUEST, para recuperar estes dados.

Esta página só pode ser acessada vida POST, e ainda assim, de uma requisição que venha de uma outra página específica (a do formulário).

Se o usuário conseguir a url da página, ele pode enviar dados por GET que a página vai funcionar do mesmo jeito.

Então eu creio que o uso do $_REQUEST é muito específico, e que se deve usar sempre que possível $_POST e $_GET.

Agora se você, programador, não faz as devidas validações nos dados, dai meu querido... você vai ter belas surpresas.

[Rogerio Santos]

Não entendi essa brecha por ser $_REQUEST.

[Rafael Ranzolin Pedroso]

Brecha pro ser request pois o login pode ser feito com post, mas se você entrar na url ex: "?login=123" seria a mesma coisa, mas eu não vejo isso como desvantagem do $_REQUEST, vejo isso como uma validação mal programada.

Rafael Ranzolin Pedroso
Programador Senior I
(54) 9934-5547

Carazinho/RS, Passo Fundo/RS