قمت بشراء او برمجة اسكربت وتريد تأمينة من الاخطار ومشاكل الاختراق ادخل هنا

[aymax.net]

منقول
منقول من الرابط التالى :
قمت بشراء او برمجة اسكربت وتريد تأمينة ادخل هنا - مطور
يرجى الحفاظ على الحقوق لاننى تعبت كثيرا فى كتابة هذا الموضوع ونقلتة لسوالف للنفع العام

السلام عليكم ورحمة الله
احيانا نشترى او نقوم بتحميل العديد من السكربتات المجانية ولكن لا ندرى ما اخطار السكربتات المجانية الكثيرة فلربما تكون برمجتها فوق الممتازة والرائعة ولكن مبرمجها لم يقرأ الكثير عن الثغرات وطرق الاختراق فما من مبرمج بدون قرأة وانا فى رأى الشخصى ان البرمجة ليست اكواد ولكن وعى عام بكيفة حل مشكلة عن طريق لغة البرمجة فما البرمجة الا اداة لحل مشكلة او لتقضية غرض البرنامج ليس برمجة ولكن فكرة والبرمجة وسيلة مساعدة لتطبيق الفكرة
نرجع لموضوعنا

عندما تقوم بتحميل السكربت لموقعك يجب ان تقوم بعدة خطواط
1- تأمين السكربت من اخطار ال حقن الالكترونى وها هى خطوة بسيطة لا تحتاج لتقننى او مبرمج مختص اضع الكود التالى فى صفحة ال config.php او ما يشابة لان الملف يتم استدعاءة فى بداية الكود للاتصال بقاعدة البيانات

كود PHP:

function security_mtwer($mtwer) {
  if(is_array($mtwer)) {
    $mtwer = array_map('security', $mtwer);
  } else {
    if(!get_magic_quotes_gpc()) {
      $mtwer = htmlspecialchars($mtwer, ENT_QUOTES);
      $mtwer=addslashes(trim($mtwer));
    } else {
      $mtwer = htmlspecialchars(stripslashes($mtwer), ENT_QUOTES);
            $mtwer=addslashes(trim($mtwer));
    }
    $mtwer = str_replace("\\", "\\\\", $mtwer);
  }
  return $mtwer;
} 
$_POST = security_mtwer($_POST);
$_GET = security_mtwer($_GET); 


2- حماية مجلدات الادارة والانكلود والملفات المضمنة ولا تستخدم فى الطلب بمعنى بعض الاسكربتات تضع ملفات تضميينية مساعدة فى مجلد يدعى include او Lib او source هذة الملفات لا تستدعى مباشرة من خلال الرابط ولكن يتم تضمينها فيجب ان يتم حمايتها بجدار نارى مع مجلد الادارة لتفادى مشكلة قد يقع فيها المبرمج مثل ال remote include لملفات الشل مما يسبب الضرر لك اولا والمستضيف ثانيا
وطريقة وضع الجدار النارى سيتم وضعها لاحقا فى موضوع يحتوى على طرق انشاء الجدار النارى سواء من ملف .htaccess اومن خلال لوحة التحكم سواء كانت سى بانل او بليسك

3- اقفال دالة ال register_global وتجربة السكربت وان لم يعمل ننصحك بشدة بان تقوم بتطوير السكربت تبعك نظرا لخطورت المتغيرات بدون استخدام Post ,get

4- استخدام نظام الكابتشا فى نماذج اتصل بنا والاستعلام والبحث لعدم استخدامها من قبل العبثين كااداة لتسوية الفلود واالضغط على قاعدة البيانات

5 - عدم استخدام نموذج البحث المباشر (خاص بالمبرمجين ) فمن الاذكى ان تقوم بعد اتمام عملية البحث ان تقوم بتسوية كوبى من نتائج البحث فى جدول مؤئقت كما فى ال vb فبالتالى ستخفف الضغط كثيرا على قاعدة البيانات وبالتالى تأمينة من الفلود

6- استخدام خواص ال salt فى تشفير ال md5 واليك نظام تشفير قوى جدا استخدمة

كود PHP:

 $pass="كلمة المرور";
$salt_key="mtwer.com";
$newpass=md5("mtwer.com:$pass*$salt_key");
$newpass=md5("mtwer.com:$newpass");
$newpass=md5("topline:$newpass*$pass");
$newpass=base64_encode("$newpass");
$newpass= str_replace("=","",$newpass); 


فهذا الكود يقوم بدمج كلمة المرور مع كلمة اخرى وثم تشفيرها عدة مرات مع كلمات مختلفة ثم استخدام نظام ال base64_encode لاعادة شكل التشفير ثم استخدام دالة ال str_replace لحذف = من اخر الكود
واخيرا وضع هذا الكود فى بداية الصفحة لكى يمنع ظهور اى مشكلة لكى تتفادى استغلالها من قبل المخربين وهيا

كود PHP:

ini_set('display_errors','0'); 


اعتقد هذة اهم الاساسيات الواردة فى ذهنى فى الوقت الحالى نظرا لاننى مشتت بسبب فرحتى ببدء خدمة مطور

اخوكم ايمن

[dewan159]

شئ جميل .... مشكور

[webtuto]

شكرا يا اخي معلومات رائعة
انا استعمل فقط MD5 و لكن بفكرتك SALT كيف يمكنني اخيار الباسوورد في صفحة login.php عادة استعمل
select * from member where pass='md5($_POST[pass]
اما ب طريقتك فكيف و شكرا

[daif]

- بالنسبه للداله md5 في الفقره 6 اعتقد انه ليس هناك اي فائدة تذكر من تكرارها لانها من الدوال التى تشفر في اتجاه واحد فليس هناك داعي لوضع نص تمليح او مفتاح (salt , key) .
-الطريقة الاصح هي استخدام md5 مع النص مباشره كما ذكر الاخر webtuto

[aymax.net]

مؤخرا قامت بعض الموقع بانشاء قاعدة بيانات فيها كل كلمة مشفرة بال md5 ومقابلها وظهرت بعض برامج فك تشفير ال md5 والتى ربما تنجح او لا حسب صعوبة الباسورد ولكن باستخدام ال
salt تجعل لك تشفير مستقل لل md5
اى ان ال 123456 سوف تخرج md5 خاصة بك وبالتالى حماية اكتر:1power:

[aymax.net]

والدليل ادخل على الموقع التالى
GData: An Online MD5 Hash Database
وقم بوضع شفرة ال Md5
e10adc3949ba59abbe56e057f20f883e
سيظهر لك 123456
يوجد فى قاعدة البيانات الخاصة بهم
Total number of cracked hashes: 1,151,768
اظن فكرتى فى ال salt وصلت انا لم اكتبها او استخدمها من فراغ وشكرا لمروركم الذى اعتز بة

[mr_m]

ببساطة شديدة.. من الممكن عمل تشفير ال md5 لمرة واحدة فقط بدون تكرار ::deal:

كود PHP:

$key = "Hello!";
$pass = $_POST["pass"];
$hash = md5($pass.$key); 


تحياتي لكم

[aymax.net]

كلامك صحيح 100% ولكنى استخدمها اكثر من مرة لاظمئن قلبى :d لسبب واحد ان انا مش الى حشفر هههههههه الله يعطيكم العافية مشكورين على الردود

[daif]

- صحيح نوعا ما التشفير بستخدام المفتاح الخارجي من باب ان المستخدم قد يضع كلمة سر سهلة كما ذكرت 123456 لكن في نفس الوقت اذا تم وضع فهرس لكل الكلمات وهذا يكون مستحيل حاليا فانه لا فائدة من تكرار التشفير لانه موجود في الفهرس المستحيل , حتى اذا كان الناتج md5 اخر فسيكون ايضا في هذا الفهرس المستحيل .
- ماعرفه عن md5 انها تسطيع تشفير اي نص بغض النظر عن طوله لذلك معادلة التشفير حسب طول النص , تخيل كم من الوقت يحتاج لانشاء هذا الفهرس .

- الخلاصة: لضمان بينات المستخدمين ضع مفتاح+ البينات ثم قم بتشفيرها , لكن تاكد انك لا تنسى هذا المفتاح لانه يعتبر مفتاح الارقام السرية جميعها .

MD5 - Wikipedia, the free encyclopedia

[aymax.net]

كلامك سليم ولكننا نتحايل على المستقبل الذى لا نعرف عنة شىء اخوى ضيف الذند كان من المستحيل فكها الانسان كان من المستحيل وصولة للقمر
يجب ان نحاول ان نفكر بتفكير المخربين حتى نحمى نفسنا

[dnet]

أعان الله العملاء على مثل هذه الطرق للتشفير.
فبعض المبرمجين ممن (لا يخاف الله) يقوم بمثل هذه الطرق وغيرها الكثير مثل برمجيات التجسس، بالرغم من أن البرنامج مدفوع التكاليف للبرمجة وليس للإستخدام فقط. أي يفترض أن يسلم العميل البرنامج بدون أي تشفير.
وعذرا على هذه المداخلة، ولكنها مهمة جدا عندما نتحدث عن التشفير