تلغيم القوالب + تلغيم الإستايلات + ....

**ميلانى** · 01-02-2007

مرحبا انا مسحت الكود عزيزى

وطلع لى

بدل قالب

19 قالب

ماذا افعل يالغالى

ورايت الفرق بين القالب المعرب والغير معرب ورايت المعرب به علامات تنصيص

وتحياتى

انتظر جوابك

**العندليب** · 01-02-2007

يبدوا أن هناك إشكاليه لدى البعض في فهم ماذكرت
فأنا أسعى الى توصيل المعلومه بشكل صحيح وأتمنى أن أوفق في ذلك ويالله ساعدني

أعيد وأكرر
جمل الـ IF أو PHRASE هي إضافات من قبل مطوري منتديات vbulletin .
هذه الجمل ليست جمل html كالتي تكتب في القوالب ولكنها جمل يتم إستخدامها داخل القوالب فقط لعمل شرط معين.
حتى يعمل الشرط فيجب تعريب صيغة هذه الجمل إلى كوود PHP باستخدام علامتي التنصيص والنقط.

فعلى سبيل المثال قالب يحتوي على مايلي:

كود:

<if condition="$bbuserid == 2">
<b>2</b>
<else />
<b>0</b>
</if>

فبعد تعريب هذا القالب يصبح على الشكل التالي:

كود:

".(($bbuserid == 2) ? ("
<b>2</b>
") : ("
<b>0</b>
"))."

لذلك خطر التلغيم قد يأتي من هذه الجمل وقد لا يأتي!
والسبب هو علامتي التنصيص والنقط التي لونتها بالأحمر. ( راجع الطريقه الأولى للتلغيم )

الكوود المساعد الذي طورناه حتى وصل لهذه المرحله هو مجرد فاحص لهذه العلامات فإذا عرضها لك فقم بفحصها والتحقق منها ولكنه ليس بحل جذري وكامل لأنه لا يفحص كل القوالب

لذلك طرحت فكرة الكوود المساعد لأرى نقاشاً حول ماذكرت ولكني لا أرى إلا تعبئة ردود فقط!!
أتمنى من مشرفنا الكريم مسح أي رد ليس له علاقه بالموضوع وشكراً

موفقين

**ميلانى** · 01-02-2007

العندليب بارك الله فيك

الموضوع واضح جدا ان

<if condition="$bbuserid == 2">
2
<else />
0
</if> هذه تتغير الى نقط او علامات تنصيص وغيرها ممكن تغير بعد التعريب
واضح الشرح ومنكم نستفيد عزيزى
وانت تقول ممكن التلغيم ياتى وقد لاياتى وكيف نتفادى المشكله
وشكرا

**العندليب** · 01-02-2007

المشاركة الأصلية كتبت بواسطة ميلانى

العندليب بارك الله فيك

الموضوع واضح جدا ان

<if condition="$bbuserid == 2">
2
<else />
0
</if> هذه تتغير الى نقط او علامات تنصيص وغيرها ممكن تغير بعد التعريب
واضح الشرح ومنكم نستفيد عزيزى
وانت تقول ممكن التلغيم ياتى وقد لاياتى وكيف نتفادى المشكله
وشكرا

والله لا أدري هل هو واضح أم غير واضح!!!

جاوبتك اكثر من مره على سؤالك وقلت
بالفحص
بالفحص
بالفحص

الكوود المساعد الذي طورناه حتى وصل لهذه المرحله هو مجرد فاحص لهذه العلامات فإذا عرضها لك فقم بفحصها والتحقق منها ولكنه ليس بحل جذري وكامل لأنه لا يفحص كل القوالب

أتمنى تكون وصلت المعلومه والسؤال مايتكرر :court:

**ميلانى** · 01-02-2007

مشكور عزيزى ما
دام يفحص ما قصرت
ووفقك الله

**dark_moon** · 01-02-2007

السلام عليكم

أخوي والله قرأت الموضوع أكثر من 7 مرات ولم أستطع فهم الموضوع
ليس قصورا منك ولكن عدم استيعاب مني
المنتدى مخترق بسبب نفس المشكلة ولازلت انتظر فرج الله

تقبل تحيتي

**b happy** · 03-02-2007

بارك الله فيك اخي العندليب و لكن اسمح لي عندي سؤال خارج الموضوع شوي

تقدر تتجاهل السؤال في حال حسيت انه يشتت الموضوع

الآن ظهرت في جميع نسخ البي اتش بي تحت 5.1.7 ثغره تسمى بــ

HTML Entity Encoder Heap Overflow Vulnerability

ما فهمته هو استخدام رموز utf تجعل htmlspecialchars() و htmlentities() تقوم بالتشفير الى ما لا نهاية و تشكل overflow على السيرفر

هل ما فهمته صحيح إذا كان لا فأتمنى منك التوضيح

و جزاك الله الف خير مرة اخرى على التنبيه

**محمد رضا** · 04-02-2007

احب ان اوضح ايضا لمن لم يفهم موضوع الأخ العندليب جيدا هو ان الــ Snippet او

الكود الموضوع بالاعلى (يعمل على اظهار الاراضي الخصبه التى يمكن للمهاجم (attacker) ان يستغلها ويضع فيها الكوود الخاص به)

ولذلك ان كل النتائج التى يظهرها الكود لا يمكن الجزم بانها مصابه الا بعد فحصها

مشكور اخى العندليب ولى عوده بعد التجربه

**الوجية** · 06-02-2007

المشاركة الأصلية كتبت بواسطة العندليب

وعليكم السلام وحياكم الله مجدداً

عزيزي الأخ المغوار سؤالك لا عيب فيه ومهم جداً لأي صاحب منتدى حتى يعرف أن يأخذ بالأسباب
فأغلب المنتديات إن لم تكن كلها تعمل على إستضافه مشتركه وخادم واحد فقط
فإذا تم إختراق منتدى اخر أو موقع اخر موجود مع موقعك على نفس الخادم إستطاع المخترق بدوال معينه الوصول لمساحة موقعك من هذا الموقع المخترق وسعى للبحث عن كلمة المرور و إسم المستخدم لقاعدة بياناتك ومن بعدها يقوم هذا المخترق بالاتصال بالقاعده والبحث عن جداول قاعدتك لذلك لن يجد مكان يقوم بوضع أكواده فيه الا في ماذكرت لك والمصيبه هنا في حالة إنتقال موقعك الى إستضافه أخرى أو سرفر خاص بك فسوف تنقل معك العله الموجوده في هذه الجداول وبهذا الشكل إستطاع المخترق للوصول لك مره أخرى وقت مايشاء.

أخي العندليب..
جزاك الله عنا خير الجزاء.

السؤال هو :
إن كان الاختراق قد تم بالفعل ووضعت الأكواد في القاعدة فكيف تتم إزالتها ( وخاصة للنسخ الجديدة)؟

**ابوساري** · 07-02-2007

أخي العندليب..
تعال هنا المشكله العويصه الي محد حصل لها حل

السلام عليكم ورحمه الله وبركاته
اخوني انا لي شهر ويوجد اعلان في موقعي مدري كيف صار في موقعي والعلان في المنتدى بس
يطلع لي مره وحده فقط وغثني حاولت اشيله ما لقيتها دوره عليها بكل مكان ما لقيته مدري كيف احذفه
هذ هو البنر الي يطبلع في موقعي

http://static.itrack.it/clients/Neds...audiarabic.gif

يا ليت الي عندهخليفه عن هذ العلان او قد صار معه يخبرني عنه وجزالله خير عني

http://www.chat-ger.com/vb/index.php

المشكله لقيت نفس المشكله مطروحه في المعهد وما فيه حل لها
هذي بعض المواضيع الي تخص هذ الموضع
http://www.traidnt.net/vb/showthread.php?t=336393
وهذ الثاني
http://www.traidnt.net/vb/showthread.php?t=335770
ونا الثالث
http://www.traidnt.net/vb/showthread.php?t=340505
وللحين ما فيه حل
المشكله انه نفس البنر ونفس الموقع حق الجولات يعني صاحب الموقع راح يشهر موقعه على ضهور الموقع العربيه غصب عنهم
حتى ما يطلب تبادل او شي من هذ القبيل اقل شي يستاذان هذ يقولك غصب عنك احط اعلان واذا فيك خير واقفه

نبي نشوف مصدر هذ العلان من وين وكيف يجي وكيف ينحذف

**THE STUDENT** · 07-02-2007

المشاركة الأصلية كتبت بواسطة ابوساري

أخي العندليب..
تعال هنا المشكله العويصه الي محد حصل لها حل

السلام عليكم ورحمه الله وبركاته
اخوني انا لي شهر ويوجد اعلان في موقعي مدري كيف صار في موقعي والعلان في المنتدى بس
يطلع لي مره وحده فقط وغثني حاولت اشيله ما لقيتها دوره عليها بكل مكان ما لقيته مدري كيف احذفه
هذ هو البنر الي يطبلع في موقعي

http://static.itrack.it/clients/Neds...audiarabic.gif

يا ليت الي عندهخليفه عن هذ العلان او قد صار معه يخبرني عنه وجزالله خير عني

http://www.chat-ger.com/vb/index.php

المشكله لقيت نفس المشكله مطروحه في المعهد وما فيه حل لها
هذي بعض المواضيع الي تخص هذ الموضع
http://www.traidnt.net/vb/showthread.php?t=336393
وهذ الثاني
http://www.traidnt.net/vb/showthread.php?t=335770
ونا الثالث
http://www.traidnt.net/vb/showthread.php?t=340505
وللحين ما فيه حل
المشكله انه نفس البنر ونفس الموقع حق الجولات يعني صاحب الموقع راح يشهر موقعه على ضهور الموقع العربيه غصب عنهم
حتى ما يطلب تبادل او شي من هذ القبيل اقل شي يستاذان هذ يقولك غصب عنك احط اعلان واذا فيك خير واقفه

نبي نشوف مصدر هذ العلان من وين وكيف يجي وكيف ينحذف

فتحت المنتدى حقك وماظهر لى الاعلان

ولكن من رابط الاعلان الذى وضعته ومن مشكلتك استنتج انها من جهازك

قم بعمل Clean للملفات الموقته يدويا او قم باستخدام برنامج تنظيف الجهاز من Spyware

**stars-ksa** · 10-02-2007

موضوع جميل وشيق
لي رجعه

**Dezo** · 11-02-2007

اخوي.ابو.ساري.سبب.ظهور.الاعلان.هو.الكود.مال.ندستات.او.م� �يسمى.ويب.ستات.هذا.ماصار.معي.وحذفت.الكود.عمومآ.الاعلان.� �وجه.للسعودية.او.دول.الخليج.فقط
اتمنى.ان.الحل.ينفع.

**العطاء** · 11-02-2007

المشاركة الأصلية كتبت بواسطة العندليب

والله لا أدري هل هو واضح أم غير واضح!!!

جاوبتك اكثر من مره على سؤالك وقلت
بالفحص
بالفحص
بالفحص

أتمنى تكون وصلت المعلومه والسؤال مايتكرر :court:

السؤال اللي ما تم إلى الآن فهمه, عملنا التعديل المطلوب على الملف وأظهر لنا قالب وقالبين وثلاثه وأربعه واطلعت لنا العلامات اللي ذكرتها, السؤال هنا: كيف نفحص هذه الأكواد ونتحقق من صحتها وخلوها من التلغيم؟ ماهي الطريقه؟

وفي الحقيقة لم أجد إلى حد هذه اللحظة ترقيعاً!
الكود الأخير الذي أدرجته, بغض النظر عن القوالب التي زرعة من قبل منتجات بشكل إفتراضي, فإنه يقوم بعرض القوالب الرئيسية في الستايل, فهذه الحاله يصبح تشوش من قبل صاحب المنتدى فيما يفعل تجاه القوالب الرئيسية.

لذلك أخي المحترم عليك بالتوضيح أكثر لأنه إلى الآن لم نصل إلى حل جذري للمشكلة المطروحه في ساحة هذا الموضوع الفسيح, ما أراه أنك تثير بعض النقاط وتجر أصحاب المنتديات تدريجياً إلى نقطة ما ولكنك لم تكشف عنها حتى هذه اللحظة منتظراً من يشاركك بذكائه وخبرته, وهذا نوع من الفحص الفكري ^_^.

يعجبني فيك إثارة العقل لجعله يعمل بطاقة جيده وصب أكبر كمية تركيز على الأمر الذي تطرحه, أنا لست متعمقا في البرمجه ولكن أتعلم من هنا وهناك وبالخصوص جنابك المحترم.

فعلى سبيل المثال خدمة قواعد البيانات MySQL التي تأتي مع لوحات الـ Cpanel ولوحات أخرى أيضاً تستخدم عنوان موحد للإتصال بقواعد البيانات وهو localhost وتجد أن كل المواقع المشتركه في نفس الخادم تستخدم نفس هذا العنوان وهذا عيب كبير جداً ولو كانوا المستضيفين على إطلاع وفهم لما يجري بخدماتهم لأصبحت الإستضافه بأمان
فمن موقعي بإمكاني أن أضع عنوان الاتصال localhost واسم المستخدم الخاص بك وكلمة المرور الخاصه بك وسوف أتصل بكل سهوله واتصفح قواعد بياناتك فهل موقعك في أمان الان ؟
كان بالاحرى والأصح أن يعطى كل عميل عنوان مستقل للاتصال بالقاعده من مساحته فقط ولا يمكنه من استخدام أي عنوان اخر.

هل لك أن تقوم بالتفصيل في هذا الأمر؟ أريد أن أعرف كي أقوم بوضع عنوان إتصال خاص بي أو لكل عميل كما ذكرت عنوان مستقل للإتصال بالقاعده من مساحته فقط ولا يمكنه من استخدام أي عنوان آخر؟ هذا الأمر لطيف جداً ومفيد لذلك أطلب منك إثرائه.

والأفضل أن يتم مسح جميع القوالب والاستايلات ومن ثم تركيب الاستايلات السليمه مره أخرى وبعدها يتم نقل القوالب من نظام الجداول الى نظام الملفات وعمل تصريح للقراءه فقط على هذه الملفات ويفضل أن يتم عمل مجلد لها خارج الـ DocumentRoot أو كما يسميه البعض public_html .

هل هذا يحل المشكلة فعلا ونتخلص من قضية التلغيم وتعريبات العبارات؟

البروفيسور:

و فيه نقطة ثانية و هي مهمه بعد و بتساعد الاخوان على انهم يعرفون ما اذا كان الاختراق يتم من خارج و الا داخل السيرفر

اذا كان اي احد منكم يستخدم لوحة تحكم cpanel فصعب انه يتصل اي شخص بقواعد البيانات من خارج السيرفر

الا اذا المخترق كان له صلاحية دخول الى لوحة التحكم و اعطى صلاحية للاي بي حقه انه يتصل من خارج السيرفر عشان يتمكن من الوصول لقواعد البيانات

بمعنى اخر ان المخترق عنده حساب في نفس السيرفر او انه عنده صلاحيه للوصول لملفاتك بانه يكون رفع بعض الملفات القذرة الى موقعك

هل لك أن تقوم بتوضيح هذا الأمر أكثر؟ لأن معرفته مهمه وهل ما تعنيه من عنوان آي بي المسجل كـAccess Hosts؟

شاكر لكم هذا الموضوع الذي دائما ما أتطلع له في دخولي إلى سوالف من كبير مثلك يا عندليب ومن أمثالك في هذا المنتدى المتواضع.

**العندليب** · 11-02-2007

السلام عليكم ورحمة الله وبركاته

وحي الله الأخوان الكرام

بداية أقدم إعتذاري على عدم الرد على مداخلات البعض منكم لأنني كنت أنتظر ردوداً فيها تفكيراً جماعياً في مسألة الترقيع وكنت أريد منكم الإهتمام أكثر بالموضوع لأن الموضوع لا يخص شريحه معينه من البرمجيات بل يخص شريحه كبيره جداً من البرمجيات التي تعتمد على أنظمة القوالب الديناميكيه والتي تعتمد في أساسها على تعليمة eval او assert كما ذكرت سالفاً.

الأخ العطاء
شكراً على مداخلتك ولو قرأت ردودي جيداً أو حتى رد الأخ ( محمد رضا ) لكنت قد توصلت لما كنت أريد أن أوضحه لكم.

وفي الحقيقة لم أجد إلى حد هذه اللحظة ترقيعاً!

محمد رضا:

احب ان اوضح ايضا لمن لم يفهم موضوع الأخ العندليب جيدا هو ان الــ Snippet او

الكود الموضوع بالاعلى (يعمل على اظهار الاراضي الخصبه التى يمكن للمهاجم (attacker) ان يستغلها ويضع فيها الكوود الخاص به)

ولذلك ان كل النتائج التى يظهرها الكود لا يمكن الجزم بانها مصابه الا بعد فحصها

مشكور اخى العندليب ولى عوده بعد التجربه

الفحص يكون بالتدقيق في المحتوى الأول والمحتوى الثاني وعلى مايبدو أن البعض ليس لديه خلفيه في أساسيات لغة الـ php وكيف تتحقق الجمل الشرطيه فيها وأعتقد أنها السبب في عدم فهم ماطرحته من بعضكم.
على كل حال أنا فتحت الموضوع للإدلاء بالحلول الأفضل لكي يتم تطبيقها على كل البرمجيات سواءاً كانت vbulletin أو غيرها وإن شاء الله سأوضح في رد اخر أمور تحليليه في نظام قوالب الـ vbulletin أعتقد أنها ستوضح الطريقه السليمه بالترقيع لهذه النوعيه من البرمجيات.

إقتباس:

فعلى سبيل المثال خدمة قواعد البيانات MySQL التي تأتي مع لوحات الـ Cpanel ولوحات أخرى أيضاً تستخدم عنوان موحد للإتصال بقواعد البيانات وهو localhost وتجد أن كل المواقع المشتركه في نفس الخادم تستخدم نفس هذا العنوان وهذا عيب كبير جداً ولو كانوا المستضيفين على إطلاع وفهم لما يجري بخدماتهم لأصبحت الإستضافه بأمان
فمن موقعي بإمكاني أن أضع عنوان الاتصال localhost واسم المستخدم الخاص بك وكلمة المرور الخاصه بك وسوف أتصل بكل سهوله واتصفح قواعد بياناتك فهل موقعك في أمان الان ؟
كان بالاحرى والأصح أن يعطى كل عميل عنوان مستقل للاتصال بالقاعده من مساحته فقط ولا يمكنه من استخدام أي عنوان اخر.

هل لك أن تقوم بالتفصيل في هذا الأمر؟ أريد أن أعرف كي أقوم بوضع عنوان إتصال خاص بي أو لكل عميل كما ذكرت عنوان مستقل للإتصال بالقاعده من مساحته فقط ولا يمكنه من استخدام أي عنوان آخر؟ هذا الأمر لطيف جداً ومفيد لذلك أطلب منك إثرائه.

إن كنت عميلاً فلا يمكنك ذلك

المشكله التي ذكرتها مشكلة مستضيف وليست مشكلة عميل ! وحلها يحتاج خطوات كبيره جداً لا يمكنني طرحها بهذا الموضوع حالياً

إن كنت عميلاً عند أحدهم فقم بحجز سرفر خاص تدير محتواه بنفسك وترتاح من عقليات بعض المستضيفين الذي أصبح همهم الأول في الربح دون تقديم الخدمه الأمنه والصحيحه لعملائهم فقد أصبحت أسعار السرفرات الخاصه مع تقدم التقنيه أسعارا تضاهي سعر المستضيف خصوصا العرب منهم.
وهذه أسعار لسرفرات خاصه بنوع vps
http://vpsland.com/

لي عوده مره أخرى إن شاء الله

الموضوع: تلغيم القوالب + تلغيم الإستايلات + ....

أدوات الموضوع

بحث في الموضوع

المواضيع المتشابهه

طلب من محترفين القوالب سمارتي منهم اقامة دورة تعليم القوالب

ضوابط المشاركة