Neste artigo vou mostrar cinco dicas úteis para aumentar a segurança em aplicações desenvolvidas em PHP com o Adianti Framework.

1. Habilitar o Módulo Rewrite

Alguns diretórios não podem ser acessados externamente pelo usuário, pois contém arquivos com informações sensíveis (dados de acesso à bases de dados). Para evitar o acesso externo, o framework já contém arquivos com diretrizes de proteção, dentre eles:


Basicamente o conteúdo deste arquivo diz para o Apache impedir o acesso ao diretório:


Porém, para que estes arquivos sejam levados em consideração, é preciso habilitar no Apache o módulo rewrite, que faz a interpretação destes arquivos.

2. Ligar Prepared Statements

Não é papel deste artigo explicar em detalhes o que é um ataque do tipo SQL Injection (pt.wikipedia.org/wiki/Injeção_de_SQL), mas resumidamente podemos dizer que é uma ameaça que se aproveita de falhas em sistemas para injetar comandos SQL maliciosos que podem obter ou alterar dados na base de dados em situações onde normalmente isto não deveria ser permitido.
Uma das principais técnicas de proteção contra SQL Injection são os Prepared Statements (en.wikipedia.org/wiki/Prepared_statement). No Adianti Framework, os Prepared Statements podem ser habilitados de maneira global nos arquivos de conexão à base de dados. No seguinte link temos alguns exemplos de como configurar os conectores de acesso à cada tipo de base de dados.
www.adianti.com.br/doc-framework-Persistence-Setup-SetupConnection

Basicamente é importante ligar a variável "prep". Assim, todas instruções SQL enviadas ao banco de dados por classes como TRepository e TRecord utilizarão Prepared Statements.



O programador também pode realizar um SQL à mão livre, neste caso, também deve ter cuidados:
www.adianti.com.br/framework_files/tutor/index.php?class=ManualPrepa

3. Evitar ataques DDOS como módulo evasive

Outro tipo de ameaça à aplicação são ataques por negação de serviço - DDOS (pt.wikipedia.org/wiki/Ataque_de_negação_de_servi&ccedi), que basicamente são tentativas de tornar um sistema ou recurso indisponível por meio de sobrecarga. O Apache possui um módulo bastante interessante chamado Evasive, que trata justamente de negar conteúdo para requisições muito frequentes.



Bom, agora você pode refinar configurando as regras de bloqueio. Basicamente você precisará editar o arquivo a seguir.
/etc/apache2/mods-available/evasive.conf


Aqui tem uma explicação sobre as variáveis disponíveis para configuração :
www.linode.com/docs/websites/apache-tips-and-tricks/modevasive-on-ap

4. Usar o Template para gerenciar permissões

Ao utilizar o Adianti Framework você pode implementar um controle de permissões próprio, ou utilizar o Template (www.adianti.com.br/framework-template). O Template já adota uma série de boas práticas em termos de controle de acesso e utilizá-lo é altamente recomendado. Além disso, ele será sempre mantido atualizado pois é distribuído juntamente com o framework pela equipe Adianti.

5. Escondendo os parametros da requisição do usuário

Normalmente as ações via GET disparadas pelos usuários são exibidas na URL do sistema.
Ex: localhost/tutor/index.php?class=ProductForm&method=onEdit&id

Isto não é problema na maioria das vezes, visto que o Adianti Framework é utilizado na grande maioria das vezes para o desenvolvimento de sistemas. Além disso, se o usuário está vendo determinado conteúdo na URL, é por que ele possui acesso ao mesmo, caso contrário, uma mensagem de exceção é automaticamente exibida pelo Template para negar o acesso.

Mas se mesmo assim, você não quer que os dados de navegação sejam exibidos na URL, você pode desligar esse comportamento. O sistema continuará funcional, porém as URL's não serão registradas. Para atingir tal objetivo, basta desligar o atributo registerState no arquivo application.js.
app/lib/include/application.js


E caso queira usar URL's amigáveis, aqui vai o link:
www.adianti.com.br/forum/pt/view_1068?urls-amigaveis-no-adianti-fram