الى خبراء اومحترفين او ذوي الخبرة في برمجيات ال php والى الهاكرز الذين يخافون الله!!!

**elkaser** · 29-05-2005

السلام عليكم
تحياتي لكم جميعا
اعتقد ان هذا الموضوع الذي سأقوم بطرحه من افضل المواضيع التي سوف طرحت لافادة أمنية لمبرمجين ال php المبتدأين الي مثلي

---------- يرجا عدم تجاهل هذا الموضوع والرد لكي نستفيد بارك الله فيكم ---------------

نعلم ان لغة ال php تحتوي على العديد من الثغرات واحيانا الثغرات تكون قاتلة
ماذا لو قمنا بمحاولة شرح هذه الشغرات والاهم من هذا ان نقوم بشرح طريقة اغلاقها لكي لا نقع بها

يعني انا مبرمج php مبتدأ وقابلت على انهاء موقع كامل برمجته لوحدة ولاكن سألت بعض الاخوة ذوي الخبرة في ال php عن الثغرات وطريقة اغلاقها فحقيقة اخافني حيث اني اشك بان في الموقع يوجد ثغرات بمقدار لا يقل عن 20 ثغرة !!!!!!!!!!!!!!! وهذا أسؤ شي قمت بحصده بعد شغل برمجة دامة شهرين................

وقال لي يجب وقع الدوال addslashes على كل فورم ادخال معلومات الى قاعدة البيانات وضع stripshashes عن عرض المعلومات - ولم يوضح لي الكثير بسبب انشغاله للاسف

وايضا قال لي شئ اخر حول الدوال $_GET و $_POST حيث قال لي شي عن intval ولم افهم عليه شيء بسبب انشغاله ايضا

أهل من الممكن يا اخواني الكرام افادتي وافادة كافة المبرمجبين المبتدأين في مجال برمجة ال php بطرح طرق لاغلاق الثغرات في برمجيات ال php وطرح كيف يمكن كشفها والتعامل معها لبرمجة مواقع أمنة - لاني اعتقد انه ليس المهم ان تستطيع البرمجة بقدر تستطيع حمايتها...

يعني انا ببرمج في موقع انتفاضة فلسطين - تصورو اترك ثغرة قاتلة ويدخل واحد يهودي كافر ويخترق الموقع بكل سهولة ويضع علم اسرائيل على الموقع!!!!!!!!!!!!!!!!!!!!!

رجاء من الجميع الاهتمام بهذا الموضوع لافادة الجميع واذا ممكن من حضرة المشرة تثبيت الموضوع هذا ليستفيد من محبين برمجيات ال php

ننتظر الرد منكم يا اعزائنا المبرمجين
وبارك الله فيكم
وشكرا لتعاونكم واهتممامكم

**Pal Coder** · 30-05-2005

السلام عليكم

اسف اخي الكاسر لانه اليوم كنت مشغول كثيرا وما زلت ولم استطيع اعطاءك المعلومات بشكل كامل

لي عودة ان شاء الله غدا وسوف ارد عليك ..

**Pal Coder** · 30-05-2005

السلام عليكم

اولا : عن استقبال قيم المتغيرات استخدم المصفوفات $_GET و $_POST

فمثلا لو كنت تجلب قيمة المتغير من المتصفح فاطلبها

كود PHP:


$id = $_GET['id'];

واذا تستقبلها من نموذج بطريقة post فاستقبلها هكذا

كود PHP:




$name = $_POST['name'];

$email = $_POST['email'];

ثانيا : استخدم الدوال لتنقية النصوص وخصوصا قبل ادخالها الى قاعدة البيانات

مثلا
intval ترجع لك قيمة عددية
trim تحذف الفراغ من اول النص واخره وهذا يساعد على الحفاظ على حجم اكبر فيقواعد البيانات
addslashes تقوم بوضع / السلاش في النصوص قبل "
هذا عن الاضافة في قواعد البيانات وعند طباعة النص الذي استخدمت له addslashes
استخدم stripshashes لازالة السلاش عند طباعة النصوص من اجل الشكل والمظهر

htmlspecialchars او stripslashes لازالة اكواد php و html من النصوص

وهذا مثال على كل واحدة

كود PHP:


$id = intval($_GET['id']);

$name = trim($_POST['name']);

$name = addslashes($_POST['name']);



echo stripshashes ($row['name']);



$page = htmlspecialchars($_GET['page']);

$page = htmlspecialchars($_POST['page']);



$page = stripslashes($_GET['page']);

$page = stripslashes($_POST['page']);

ملاحظة mysql_escape_string تعمل نفس عمل addslashes وايضا هناك دالة تعمل نفس العمل mysql_real_escape_string

ملاحظة 2 كل تنقية النصوص تكون قبل ادخالها الى قاعدة البيانات حتى تضمن امان اكثر

ثالثا : عند التأكد من ملف مرفق تأكد منه من داخل ملف php وليس عن طريق كود

Javascript لانه ممكن يرسل من نموذج خارجي وبعدها اكلنا هوا :nice:

رابعا : في لوحة تحكم المشرف لا تستخدم الكوكز انما استخدم السيشن

وبعد تطبيق النقاط الاربعة السابقة تضمن حماية اكبر للموقع ككل والله يستر والباقي على الهكر وشطارته وحماية السيرفر

هذا ما في جعبتي الى الان اذا تذكرت شيئا جديدا سوف اعود واقوله لك

**Dr.Nabhan** · 30-05-2005

الثغرة مجرد خطأ برمجي

او سهوة برمجية من المبرمج

ولم يعجبني كلامك ان الـ php مليئة بالثغرات

لانه php5 تتربع على عرش لغات البرمجة

قول انه المبرمج لا يتمتع بحس الاحتراف

لان البرنامج الذي به ثغرات يكون المبرمج فتح عليه طاقة دبور كما يقال

وان كثر الثغرات حتى في البرامج الكبيرة ذا دل فانه يدل على ان الphp لغة برمجية قوية

وكثرة تعاريجها وقوة طرقها

بالمناسبة :
اذا كان البرنامح الذي برمجته خاص بموقعك
فلم الخوف

اتبع جميع طرق اخي pal coder

وايضا انتبه للكوكيز والسيشن

وانتبه لاغلاق الكوكيز

ولتشفير الباسووردات والمعلومات الشخصية

و (اعقلها وتوكل)

وشكرا

**elkaser** · 30-05-2005

السلام عليكم
سمعت من بعض الاخوة بان النسخة الحديثة من البي اش بي تقوم اتوماتيكيا بعمل addslashes و strepshashes ولاكنه لم يكن على يقين

كيف ممكن نتأكد ؟؟؟؟؟؟

محلاحظة هذه الطرق الحماية ضافت على شغل كمان شهر ههههههههههههههههههههههههه

تحياتي لكم

**almuslet** · 31-05-2005

اضفة ال slashes بشكل تلقائي موجودة في الphp 4 و5 عن طريق ال magic quotes
حيث يتم اضافة الslashes لكل علامات التنصيص في النصوص المرسلة عن طريق الفورمز (post) وال get ومدخلات فواعد البيانات ..
يتم تفعيلها من ملف php.ini .
حقيقة لا انصح باستخدامها خصوصا عند كتبة سكريبتات يتم استخدامها من قبل الجميع وذلك للاختلاف في اعدادات الphp في السيرفرات .
وانصح جميع المبرمجين ان يتخذوا الحيطة اذا كانت الmagic qouts مفعلة حتى يتجنبوا اضافة slashes مزدوجة

**elkaser** · 31-05-2005

السلام عليكم
شكرا جزيلا للجميع

اخي almuslet يعني انت تنصح باستخدام الدوال addslashes و stripslashes وعدم تفعيل ال magic qouts ??

وسؤال اخر لمذا تفضلون استخدام السيشن على الكوكز ؟؟؟؟

وايضا سؤال اخر يجب عمل ال addslashes للفورمات المعروضة للزوار ؟؟؟ اي المصرح للزوار باستخدامها - ام كافة الفورمات حتى لوحة التحكم ؟؟؟؟؟؟

وسؤال اخير عندما نستخدم ال addslashes ونقوم بادخالها الى قاعدة البيانات اهل يقوم السيرفر باضافة "سلاش" الى الحقول في قاعدة البيانات قبل النص ؟؟؟ ام تكون شوفية - او غير ظاهرة ؟؟؟؟

تحياتي لكم
وشكرا

**Pal Coder** · 31-05-2005

اخي الكاسر

شهر شهر ولو حتى سنة ولا بتحب تشوف موقعك مهاكر :con2:

السيشن اكثر امانا من الكوكز لانه من خلال الكوكز احتمال ان يتم اختراق لوحة التحكم وخصوصا ان وضعت PassWord بدون تشفير

addslashes استخدمها في كل الموقع حتى لوحة التحكم ان كان غيرك يستخدم اللوحة ..

و addslashes تقوم باضافة / الى قاعدة البيانات في النصوص ولذلك قلت لك استخدم stripslashes عند اخراج النص من القاعدة

echo stripshashes ($row['name']);

تحياتي لك

**elkaser** · 01-06-2005

السلام عليكم
بالنسبة للباسورد امشفر

اما انا قمت بعمل addslashes ولاكن لم يضاف سلاش في قاعدة ةالبيانات ولم شظهر اي خلل في الموقع

!!!!

شو المشكلة ليش ما بضيف السلاش ؟

**عبد الله هُربي** · 01-06-2005

موضوع جميل والى الامام اخواني الكرام .

وخالص المودة

،،

**Pal Coder** · 01-06-2005

اهلا اخي مجاهد

اخي الكاسر اليك هذا الكود

كود PHP:


$name = addslashes($_GET['name']);

$sql = mysql_query("insert into table (name) values('$name')");

ارجوا ان تكون فهمت

**Danger_Zone** · 01-06-2005

المشاركة الأصلية كتبت بواسطة Pal Coder

كود PHP:


$name = addslashes($_GET['name']);

$sql = mysql_query("insert into table (name) values('$name')");

اذا هل هيه كافية لمنع ال SQl Injection

**elkaser** · 02-06-2005

السلام عليكم
اخي Pal Coder عملت بنفس الكود وعدنما ذهبت الى حقول البيانات لم اجد اي سلاش اضافي للنص

هذا الكود الذي قمت بعمله

كود PHP:




$message=addslashes($_POST['message']);



mysql_query("INSERT INTO name (message)VALUES('$message') ");

طبعا لم يعمل

سؤال اخر بعد الاجابة على السؤال الاول الله يطول في عمرك
شو الفرق بين الاكواد التالية

كود PHP:


$message=$row['message'];

و

كود PHP:


$message=$row["message"];

و

كود PHP:


$message=$row[message];

أهل هي اداه للحماية ؟؟ ام ما هو الفرق بينهم مع العلم انهم يقومو بنفس العمل

وشكرا

**Pal Coder** · 03-06-2005

اخي Danger_Zone ليس تماما

اخي الكاسر ممكن نعتبرهم يقوموا بنفس الوظيفة

**Danger_Zone** · 03-06-2005

هل يعني ذلك انه لا توجد طريقة آمنه ؟؟؟؟؟ او ان هناك المزيد

طيب لو فرضنا اني عملت فاليديشن للحقول للتأكد من صحة القيمة المدخلة واضفت السلاش .. هل مدخلات الفورم عندها تكون آمنه من الحقن ... طيب ان كان هذا لا يكفي فما هو الحل ... الأمان هو الأهم قبل الكل

الموضوع: الى خبراء اومحترفين او ذوي الخبرة في برمجيات ال php والى الهاكرز الذين يخافون الله!!!

أدوات الموضوع

بحث في الموضوع

الى خبراء اومحترفين او ذوي الخبرة في برمجيات ال php والى الهاكرز الذين يخافون الله!!!

المواضيع المتشابهه

مطلوب مبرمجين محترفين - يخافون الله

وضعت دويمات اخرى لموقعي .. ولكن توقفت الرسايل من والى موقعي .! ساعدونا يا اهل الخبرة

الى كل خبراء - احسن برنامج للحماية من الهاكرز (المغفلين)

ضوابط المشاركة