منقول
منقول من الرابط التالى :
قمت بشراء او برمجة اسكربت وتريد تأمينة ادخل هنا - مطور
يرجى الحفاظ على الحقوق لاننى تعبت كثيرا فى كتابة هذا الموضوع ونقلتة لسوالف للنفع العام
السلام عليكم ورحمة الله
احيانا نشترى او نقوم بتحميل العديد من السكربتات المجانية ولكن لا ندرى ما اخطار السكربتات المجانية الكثيرة فلربما تكون برمجتها فوق الممتازة والرائعة ولكن مبرمجها لم يقرأ الكثير عن الثغرات وطرق الاختراق فما من مبرمج بدون قرأة وانا فى رأى الشخصى ان البرمجة ليست اكواد ولكن وعى عام بكيفة حل مشكلة عن طريق لغة البرمجة فما البرمجة الا اداة لحل مشكلة او لتقضية غرض البرنامج ليس برمجة ولكن فكرة والبرمجة وسيلة مساعدة لتطبيق الفكرة
نرجع لموضوعنا
عندما تقوم بتحميل السكربت لموقعك يجب ان تقوم بعدة خطواط
1- تأمين السكربت من اخطار ال حقن الالكترونى وها هى خطوة بسيطة لا تحتاج لتقننى او مبرمج مختص اضع الكود التالى فى صفحة ال config.php او ما يشابة لان الملف يتم استدعاءة فى بداية الكود للاتصال بقاعدة البيانات
كود PHP:
function security_mtwer($mtwer) {
if(is_array($mtwer)) {
$mtwer = array_map('security', $mtwer);
} else {
if(!get_magic_quotes_gpc()) {
$mtwer = htmlspecialchars($mtwer, ENT_QUOTES);
$mtwer=addslashes(trim($mtwer));
} else {
$mtwer = htmlspecialchars(stripslashes($mtwer), ENT_QUOTES);
$mtwer=addslashes(trim($mtwer));
}
$mtwer = str_replace("\\", "\\\\", $mtwer);
}
return $mtwer;
}
$_POST = security_mtwer($_POST);
$_GET = security_mtwer($_GET);
2- حماية مجلدات الادارة والانكلود والملفات المضمنة ولا تستخدم فى الطلب بمعنى بعض الاسكربتات تضع ملفات تضميينية مساعدة فى مجلد يدعى include او Lib او source هذة الملفات لا تستدعى مباشرة من خلال الرابط ولكن يتم تضمينها فيجب ان يتم حمايتها بجدار نارى مع مجلد الادارة لتفادى مشكلة قد يقع فيها المبرمج مثل ال remote include لملفات الشل مما يسبب الضرر لك اولا والمستضيف ثانيا
وطريقة وضع الجدار النارى سيتم وضعها لاحقا فى موضوع يحتوى على طرق انشاء الجدار النارى سواء من ملف .htaccess اومن خلال لوحة التحكم سواء كانت سى بانل او بليسك
3- اقفال دالة ال register_global وتجربة السكربت وان لم يعمل ننصحك بشدة بان تقوم بتطوير السكربت تبعك نظرا لخطورت المتغيرات بدون استخدام Post ,get
4- استخدام نظام الكابتشا فى نماذج اتصل بنا والاستعلام والبحث لعدم استخدامها من قبل العبثين كااداة لتسوية الفلود واالضغط على قاعدة البيانات
5 - عدم استخدام نموذج البحث المباشر (خاص بالمبرمجين ) فمن الاذكى ان تقوم بعد اتمام عملية البحث ان تقوم بتسوية كوبى من نتائج البحث فى جدول مؤئقت كما فى ال vb فبالتالى ستخفف الضغط كثيرا على قاعدة البيانات وبالتالى تأمينة من الفلود
6- استخدام خواص ال salt فى تشفير ال md5 واليك نظام تشفير قوى جدا استخدمة
كود PHP:
$pass="كلمة المرور";
$salt_key="mtwer.com";
$newpass=md5("mtwer.com:$pass*$salt_key");
$newpass=md5("mtwer.com:$newpass");
$newpass=md5("topline:$newpass*$pass");
$newpass=base64_encode("$newpass");
$newpass= str_replace("=","",$newpass);
فهذا الكود يقوم بدمج كلمة المرور مع كلمة اخرى وثم تشفيرها عدة مرات مع كلمات مختلفة ثم استخدام نظام ال base64_encode لاعادة شكل التشفير ثم استخدام دالة ال str_replace لحذف = من اخر الكود
واخيرا وضع هذا الكود فى بداية الصفحة لكى يمنع ظهور اى مشكلة لكى تتفادى استغلالها من قبل المخربين وهيا
كود PHP:
ini_set('display_errors','0');
اعتقد هذة اهم الاساسيات الواردة فى ذهنى فى الوقت الحالى نظرا لاننى مشتت بسبب فرحتى ببدء خدمة مطور
اخوكم ايمن