حيله بسيطه تريحك من ( register_globals )

**EmiDes.Com** · 28-06-2006

السلام عليكم روحمة الله وبركاته

تحية طيبه لكم أخواني

لا يخفى على الجميع بأن أكثر المشاكل الدارجه حاليا هي مشاكل ( POST و GET ) وعدم عملها بطريقه صحيحه مما يتوجب على المبرمج أن يقوم بتعديل جميع الملفات لكي يصبح الكود بهذه الطريقه

كود PHP:


$_POST

$_GET

ولكن اليوم سأعطيكم كود بسيط جداً سيحل المشكلة ... قوموا بوضعه في أي ملف و يستحب يكون في ملف config.php لكي تستطيع إستخدامه في جميع الملفات.

الكود

كود PHP:


if ( phpversion() >= "4.2.0"){

    extract($_POST);

    extract($_GET);

    extract($_SERVER);

}

فبهذه الطريقه لا تحتاج أخي المبرمج لإعادة تعديل الأكواد في السكربت.

هذا كل شي وتقبلوا تحياتي

أخوكم : عامر الصيعري

**المهمة9** · 28-06-2006

هلا والله بالغالي عامر

مشكور ويعطيك الف عافيه

**hilaby** · 28-06-2006

انت شكلك تبي تودينا في داهية ؟
لان طريقتك سيفتح ثغرات كبيره في السكربت .. !!

الاصدارات القادمه من PHP5 لن يسمح بان يكون الREGISTER_GLOBALS في وضعيه الON ! فلذالك انصح بعدم استخدام تلك الداله

مع كل احترامي للاخ EmiDes.Com

**EmiDes.Com** · 28-06-2006

المهمة9 :: العفو أخوي

hilaby :: انا معك أخي ولكن هذا مجرد كود لتبيان طريقة ( تخطي الـ Register Globals ) وشكراً

**موقع روش** · 28-06-2006

[ مستعير: sBForum ]

شكراً أخي

أستاذ hilaby كلامك صحيح ومنطقي جداً ..

لكن أعتقد يمكن استخدام هذه الطريقة ( أقصد extract ) على الأقل لمعالجة السكربتات التي لا تعمل دون register_globals ، لذا، هي طريقة ناجحة ، وخاطئة في نفس الوقت .. سوف يعتبر عندها كل متغير خارجي أقصد من GET وPOST على أنه متغير عادي، وبالتالي يمكن التحكم بالسكربت تقريباً بشكل شبه كامل من خارج السكربت، وهذه فعلاً داهية ............. ومصيبة ....

إذاً شكراً لكم جميعاً، وجميل طرح هذا الموضوع للنقاش حول مثل هذه الأشياء ..

تحياتي،، أِشرف السمهوري

**طير شلوى** · 29-06-2006

طيب وش الحل اذا كنت حاط في السكربت $_POST

هل من حل لها ، والا تعتبر ثغره كذا

**4arab.net** · 30-06-2006

المشاركة الأصلية كتبت بواسطة طير شلوى

طيب وش الحل اذا كنت حاط في السكربت $_POST

هل من حل لها ، والا تعتبر ثغره كذا

ما تعتبر ثغره .

حط هذا الكود في اول الصفحة .

كود PHP:


 if ( phpversion() >= "4.2.0"){ 

    extract($_POST); 

    extract($_GET); 

    extract($_SERVER); 

}

**محمود حسين** · 01-08-2006

المشاركة الأصلية كتبت بواسطة hilaby

انت شكلك تبي تودينا في داهية ؟
لان طريقتك سيفتح ثغرات كبيره في السكربت .. !!

الاصدارات القادمه من PHP5 لن يسمح بان يكون الREGISTER_GLOBALS في وضعيه الON ! فلذالك انصح بعدم استخدام تلك الداله

مع كل احترامي للاخ EmiDes.Com

**Egyptechno** · 02-08-2006

تعتبر ثغرة .. وقاتلة ..

لا تعتبر ثغرة محددة .. ولكن تتيح مئات المحاولات لمئات من الثغرات في برنامجك او موقعك ..

طيب وليه التعب ؟ لم لا نعتمد الشكل المتعارف عليه .. ونسيبنا من العك ؟

**xremas** · 02-08-2006

والله صراحة هي مشكلة

لكن سمعت عن ملف .htaccess

يحل المشكلة هاي

حدا سمع بهالحكي او عنده معلومات

لازم نلاقي طريقة نحل الموضوع بيها

**hilaby** · 02-08-2006

يا شباب بعقلكم، انتم تريدون تركيب برنامج عمره اكثر من 4 سنوات ؟؟؟
تاريخ الPHP الاصدار 4.2.0 هو 22 شهر 4 في 2002

المشكله اولاً في ان الطريقه تلك .. جداً قديمه
المشكله الثانيه اني استطيع ادخال اي معلومه في المصفوفه ["SERVER["PHP_AUTH_USER_$ ثم فعل ما اريد .. او اخمن السيسن حق الادمن ثم لدي كل صلاحياته .. والعديد من الثغرات البسيطه .. والتي قد تضر الMySQL ... ايضاً لان القيمه سيكون مابين علامات تنصيص .. فذالك يدعوا الى اللعب بالمتغيرات التي قد تعطى او تفعل عن طريق الامر aval

**الإمبراطور وحيد** · 02-08-2006

استاذي hilaby

يعني ترى ان نستخدم تعريف الحقل بواسطة

$_get

أو

$_post

لو كان عندي اكثر من 30 حقل؟
هل لابد ان أعرفها كلها؟؟؟ واحدة واحدة

ام هل من حل مختصر لها؟

خالص شكري لك

**hilaby** · 02-08-2006

والله .. ما عندك اي حل ... الا ان تسويه وحده وحده ...
او اذا كان عندك خلفية في الRegular Expressions سيكون من صالحك .. و مثل ما تعلم .. الحمايه من الثغرات اهم من التفكير في عدد الدوال والمتغيرات اللتي لم يفعل بطريقه التي يستحسن عملها.

وانت تعلم ... البرامج التي تعمل بالطريقه المحميه لها قيمة اكبر .. و ما اظن ان الزبون يمانع في الدفع اكثر ان كان الموقع محمي .. صح ؟

**أحمد أبو النصر** · 02-08-2006

المشاركة الأصلية كتبت بواسطة hilaby

والله .. ما عندك اي حل ... الا ان تسويه وحده وحده ...
او اذا كان عندك خلفية في الRegular Expressions سيكون من صالحك .. و مثل ما تعلم .. الحمايه من الثغرات اهم من التفكير في عدد الدوال والمتغيرات اللتي لم يفعل بطريقه التي يستحسن عملها.

وانت تعلم ... البرامج التي تعمل بالطريقه المحميه لها قيمة اكبر .. و ما اظن ان الزبون يمانع في الدفع اكثر ان كان الموقع محمي .. صح ؟

كلام سليم 100%

اعتقد استخدام المصفوفات سيريحك ويريح عملاءك من الاختراق .. يعني بدل أن يقول عنك فاشل وما عندك حماية .. خليه يقول انه حمايتك تمام ...

او حتى لو كان موقعك .. تستفيد انت اكثر ..

تحياتي، sBForum

**الإمبراطور وحيد** · 07-08-2006

صح لسانكم والله يامبدعين

أشكركم جزيل الشكر وكلامك فعلا عين الصواب

تحياتي

الموضوع: حيله بسيطه تريحك من ( register_globals )

أدوات الموضوع

بحث في الموضوع

حيله بسيطه تريحك من ( register_globals )

المواضيع المتشابهه

تلات اسطر تريحك من تغرات XSS

إستفسار عن register_globals

أقوى حماية لسيرفرك وأقوى إدارة تريحك من المشاكل

حيله لتغيير ترميز ملف lang-arabic.php مع php nuke 4.3

ضوابط المشاركة