مشكلة التصريح 777

[IsmSal]

السلام عليكم,

لعل البعض يعلم مشكلة التصاريح في عمل نظام او سكريبت لتحميل الملفات فتصريح 755 يفشل فلذا يجب ان يكون التصريح 777 و الكل يعرف ان هذا التصريح خطير جدا فقد يتسبب في اختراق الموقع.

فهل لديكم حلول لهذه المشكلة؟؟
مما لفت انتباهي ان السكريبت الشهير وورد بريس تغلب على هذه المشكلة لكنني لا اعلم كيف, اذا اردت ان تتأكد من ذلك شاهد التصاريح لمجلد Uploads لتجده 755 ؟

حاليا اعمل على موقع وهذه المشكلة أخرتني في استكمال المشروع.

[Mr.Ahmed EssAm]

تصحيح...الخطوره ليست بالتصريح ابدا فالتصريح 777 لا يمكن الاستغناء عنه

الخطوره في كيفية رفع الملفات وقوة البرمجيه حتى لا يتم اختراقها واستغلالها لرفع ملفات على موقعك

وبعض البرمجيات كي تستريح من مشكلة التصاريح وخطورة استغلالها

تستبدل طريقة تخزين الملفات على الموقع بتخزينها بقاعدة البيانات فلا تحتاج تصاريح ولا يمكن استغلالها

امثله على ذلك سكربت المنتديات الشهير الVb لا يعتمد في عملية التخزين على نظام الملفات ابدا

[IsmSal]

بالتأكيد اخي Mr.Ahmed EssAm كلامك سليم 100%

لكني فكرت بالطريقة الثانية وهي رفع الملفات لقاعدة البيانات, لكن حجم الملفات كبير ومع ازدياد الملفات سيزداد الحجم كثيراً.

اما فيما يخص مشلكتي فحالياً افكر في استخدام ملف htaccess يمنع اي ملف غير الامتدادات ( .jpg, .gif, .png ) لكني لا اعلم ال Syntax بالضبط.
مع علمي ان ذلك ليس كافياً للحفاظ على الامن و السلامة

اود ان اطلب ال Syntax لملف htaccess لمنع اي امتداد ما عدا ( .jpg, .gif, .png ) وشكراً لكم.

[DNSerror]

أخي عصام من قال أن التصريح 777 ليس خطيرا طالما أن البرمجية تجري كافة الفحوص والاختبارات المناسبة، ومن قال أن المخترق لن يستطيع الوصول إلى ذلك المجلد إلا من خلال برمجيتك! وأنت قد فتحت للتو باب تصريح الكتابة للقاصي والداني دون أية قيود! فيمكنه على سبيل المثال لا الحصر استخدام أبسط برنامج FTP متاح ليضع البرنامج الذي يرغب به ومن ثم ينفذه دون المرور ببرمجيتك على الإطلاق!
‏
أحد الحلول الممكنة هي تشترط أن تكون لديك صلاحيات مدير المخدم وخبرته في تنفيذ تعليمات لينكس من سطر الأوامر، وتقوم الفكرة في أساسها على إنشاء مجموعة مستخدمين تضم حساب مستخدم FTP إضافة إلى الحساب الذي يشغل مخدم الويب أباتشي معا، بعدها تحتاج إلى تحويل ترخيص المجلد المعني إلى 775، أو في حالة أكثر تطرفا يمكن تغيير اسم مالك المجلد المعني إلى ذات اسم الحساب الذي يشغل الأباتشي وجعل صلاحيات المجلد هي 755 لكنك لن تستطيع الوصول إليه أو إلى محتوياته عن طريق حساب FTP الذي تستخدمه عادة لرفع الملفات إلى الموقع.

[IsmSal]

في البداية اشكرك اخي DNSerror على مشاركتك الفعالة في الموضوع, ولكن جربت الامر الذي ذكرت ولم ينجح. انشأت مجلد بتصريح 777 و حاولت الدخول عليه عن طريق برنامج FTP وجربت انشاء ملف او مجلد و رفع ملف وفشل.

اما بالنسبة للحل الذي قدمته, الا ترى ان الطريقة صعبة نوعاً ما؟ خاصةً انني لن استطيع الوصول الى المجلد, كما ذكرت

لكنك لن تستطيع الوصول إليه أو إلى محتوياته عن طريق حساب FTP الذي تستخدمه عادة لرفع الملفات إلى الموقع.

لذا هل ترون انه من الآمن وضع ملف htaccess لمنع الامتدادات غير المرغوب فيها؟
و اكرر سؤالي ...

مما لفت انتباهي ان السكريبت الشهير وورد بريس تغلب على هذه المشكلة لكنني لا اعلم كيف, اذا اردت ان تتأكد من ذلك شاهد التصاريح لمجلد Uploads لتجده 755 ؟

[محمود حسين]

إذا كان السيرفر الذي تعمل عليه يستخدم SuPHP فلا حاجة لتصريح 777
حيث تظل التصاريح 755 ويحق فقط للبرمجية نفسها الكتابة لاي مجلد

[IsmSal]

لا اعتقد ان السيرفر الذي اعمل عليه يستخدم SuPHP

[DNSerror]

بداية أخي اسماعيل، أنا لا أدعي هنا أني خبير في أمان التطبيقات، لكن أعرض الحل المستخدم في الاستضافة التي لدي، من جهة أخرى كن واثقا أن مجلد بسماحيات 777 يسهل جدا وضع ما تريد فيه، لكن تفصيل الطريقة لن يفيد بل قد يكون شديد الضرر حين يطلع عليه صغار العابثين!

[IsmSal]

على كل حال اخي DNSerror اشكرك كل الشكر لمشاركتك في الموضوع و اشكر كل من ساهم ايضا.