No desenvolvimento de aplicações web com PHP, a
segurança é uma preocupação primordial para prevenir
vulnerabilidades comuns como Cross-Site Scripting
(XSS) e SQL Injection. Acerca das práticas de segurança
em PHP, registre V, para as afirmativas verdadeiras, e F,
para as falsas:
(__)Para prevenir ataques de SQL Injection de forma eficaz, a melhor prática é utilizar declarações preparadas (prepared statements) com APIs como PDO (PHP Data Objects) ou MySQLi, em vez de concatenar ou interpolar variáveis diretamente em strings de consulta SQL.
(__)A função mysql_real_escape_string(), apesar de ainda funcional, é considerada obsoleta e insegura para prevenir SQL Injection em versões modernas do PHP, pois pertence à extensão mysql_ que foi removida no PHP 7.
(__)A utilização da função htmlspecialchars() é uma medida crucial para mitigar ataques de Cross-Site Scripting (XSS) refletido e armazenado, pois ela converte caracteres especiais, como < e >, em suas respectivas entidades HTML, impedindo que o navegador interprete o dado como código.
(__)Para proteger contra ataques de Cross-Site Request Forgery (CSRF), é suficiente verificar o cabeçalho HTTP Referer para garantir que a solicitação se origina do mesmo domínio, não sendo necessária a implementação de tokens de sincronização (synchronizer tokens).
Após análise, assinale a alternativa que apresenta a sequência correta dos itens acima, de cima para baixo:
(__)Para prevenir ataques de SQL Injection de forma eficaz, a melhor prática é utilizar declarações preparadas (prepared statements) com APIs como PDO (PHP Data Objects) ou MySQLi, em vez de concatenar ou interpolar variáveis diretamente em strings de consulta SQL.
(__)A função mysql_real_escape_string(), apesar de ainda funcional, é considerada obsoleta e insegura para prevenir SQL Injection em versões modernas do PHP, pois pertence à extensão mysql_ que foi removida no PHP 7.
(__)A utilização da função htmlspecialchars() é uma medida crucial para mitigar ataques de Cross-Site Scripting (XSS) refletido e armazenado, pois ela converte caracteres especiais, como < e >, em suas respectivas entidades HTML, impedindo que o navegador interprete o dado como código.
(__)Para proteger contra ataques de Cross-Site Request Forgery (CSRF), é suficiente verificar o cabeçalho HTTP Referer para garantir que a solicitação se origina do mesmo domínio, não sendo necessária a implementação de tokens de sincronização (synchronizer tokens).
Após análise, assinale a alternativa que apresenta a sequência correta dos itens acima, de cima para baixo:
