[php] والأمان , شارك معنا

[ماسنجر]

السلام عليكم ورحمة الله وبركاته

أكثر سكربتاتنا تفتقد للأمان لاننا مانطبق أي حلول لبرمجية آمنة ولو بنسبة 90%

فكرة الموضوع ان كل عضو يحط فكرة تأمن السكربت

طبعاً أكثر الافكار تحتاج Regular Expression ومايخفى عليكم انه بحر

أولاً دالة Ereg_replace :

كود PHP:

Ereg_replace(REGEX,REPLACE,VAR); 


REGEX يكون مكانها نمط Regular Expression
REPLACE القيمة الجديدة "المستبدلة بدل القيمة المحذوفة"
VAR المتغير اللي راح تجري العملية عليه


استخراج الأرقام من جملة :

كود PHP:

<?
$asd= "bvreeb432fdv";
$asd= Ereg_replace("[^0-9]","",$asd);
echo $asd;
?>

النتيجة 432
الفائدة لو عندك دوال ماتقبل إلا الأرقام مثل الآي دي
مثلاً
www.swalif.net/news.php?id=fdbb3234
الدالة راح تستخرج الأرقام لحالها يعني كأن المتصفح طلب
www.swalif.net/news.php?id=3234

أثروا الموضوع وراح يكون لي رجعة مع المزيد

تحياتي

[ماسنجر]

دالة لإستبعاد كل الرموز عدا المحددة :

كود PHP:

<?
$a="%@\.";
$asd= "عبدالرحمن messenger $%@^&*( .....";
$asd= Ereg_replace("[^$a أ-ي_a-zA-Z0-9-]","",$asd);
echo $asd;
?>

القيمة ستكون
عبدالرحمن messenger %@ .....

لماذا ؟
[^$a أ-يa-zA-Z0-9-]
النمط مايقبل الا الحروف من أ إلى ي والانقليزية من a-z بالإضافة إلى الأرقام من 0 - 9
وأدخلت الدالة $a للرموز الغير مستبعدة
اللي هي % و @ والنقطة . وتقدر تضيف اي رمز ثاني داخل المتغير

سؤال يسدح نفسه
ليه حاط "\" ؟
لان النقطة "." لها عملها في Regular Expression فأضفت قبلها السلاش المقلوب علشان يلغي عملها ويحسبها زي أي رمز ثاني .

مثل ع مجال للاستخدام :
حقول الإرسال بكل انواعها مثل البحث .

[القافلة العربية]

تااااااااااااابع يابعدي موضوع رائع جداً ومهم بشكل كبير

انا عندي عزيمه الحين خخخ ولا واصلت معك ببعض طرق الأمان في الأكواد

إن شاء الله لما أرجع اواصل إضافة بعض طرق الأمان بلغة الـ PHP حسب ما أعرف

وأتمنى المشاركة من الجميع

وتسلم يالغالي ماسنجر ,

[7bteen]

طريقة استخدمها لأستقبال القيمة من GET

عند إرسال قيمة مثل هذا الرابط

http://sitename.com/?id=3333

استقبلها بالتالي

$id2 = (INT) $_GET('id');

تقوم بتحويل القيمة إلى ارقام فقط لكي لا يسمح لأي حرف او رمز بالدخول إلى الدالة



مجرد مشاركة

[ماسنجر]

اشكر لكم مروركم

حبتين , بصراحة الطريقه جديده علي وأشكرك جزيل الشكر عليه

[أحمد أبو النصر]

لا تنسى أن تحمي استعلاماتك بـ addslashes أو mysql_escape_string ...

مثال:

عند الاستعلام عن بيانات من قاعدة البيانات مثلاً بالاستعلام التالي:

كود PHP:

$query = mysql_query("select * from `table` where `field` = '". $_POST['value'] ."'"); 


فإنه علينا حماية عنصر المصفوفة $_POST['value'] من الشرطات والتي قد تؤدي الى العبث في مواد قاعدة البيانات .. نقوم بتعديل الكود بالتالي:

كود PHP:

$query = mysql_query("select * from `table` where `field` = '". mysql_escape_string($_POST['value']) ."'"); 


وهذا شيء مهم جداً نتمنى ان يتم اتباعه ..
تحياتي، sBForum