 |
السلام عليكم ورحمة الله وبركاته
أسند إلى مؤخراً برمجة موقع خاص بشركة التدريب التى أتدرب بها
و أريد أن أبرمج شئ محترم جداً
و هاهى أولى صفحاتى البرمجية فى الموقع .. صفحة التسجيل
http://jelecom.mzago.co.cc/register.php
حوالى 12 ساعه والله أو أكتر من العمل
فأرجوا أفادتى بالنتيجة
هل نجحت فى تأمنيها بشكل جيد ؟
هل من مشاكل ؟؟
وشكراً
أخي الكريم , حسب علمي عليك بطرح الكود البرمجي حتى يتفقده الاخوة و الرد عليك .
__________________
حسابي على الفيسبوك : Jelti Yassir لا تنسوني من صالح دعائكم (^_^)
اعتقد الطريقة ليست بهذه الطريقة
علي حسب ما قرأت انك تحط السورس هنا ويتم فحصة
صحيح و هدا ما عنيته بردي سابقا .
__________________
حسابي على الفيسبوك : Jelti Yassir لا تنسوني من صالح دعائكم (^_^)
أنا كنت أقصد تجربة ال SQL injection هل سيتطيع أحدهم أن يقوم به
أما بالنسبة للسورس كود فلا أستطيع طرحه لأنه برمجة خاصة لشركة و إن كان فيه ثغره فربما لا ينتبه إليها إلا صغار النفوس و يقوموا بوضعى بمأزق و موقف حرج أمام الشركه
كما أن السور كود يعتمد على ملفات أخرى بها الدوال و بها بيانات الإتصال بقاعدة البيانات
ولكن يمكن أن أشرح آليه عمل الملف
نبدأ جلسه جديده .. و ذلك من أجل الكاباتشا (صورة التحقيق)
عن طريق دالة $_POST نستقبل متغير تم إرساله من hidden input و الغرض هومعرفة إن كان الملف يفتح لأول مره فيتغاضى عن بعض الدوال ويظهر الفورم فقط أم أنه تم إرسال البيانات فيدخل فى الدوال و يعالج البيانات (لأن ال action الخاص بالفورم هو نفس الملف وبالتالى عند الضغط على زر إرسال الفورم أدخل مره ثانية للملف)
ملفات الإتصال و دوال أعلنت بها عن متغير لإختبار تضمينها
أختبر إذا لم لم يكن متغير الإختبار الخاص بملف التصال موجود فقم بتضمين الملف .. وكذلك مع ملف الدوال
ثم يتم إختبار المتغير الخاص بمعرفة هل الملف يفتح لأول مره أم أنه تم إرسال البانات المستقبل من $_POST
فإن كان المتغير موجود
أعلن عن متغير إسمه errors و قيمته صفر
أستقبل باقى بيانات الفورم من $_POST
و إن كان أحدها غير مدخل يزود قيمة ال errors بواحد
على سبيل المثال
كود PHP:if (!$fullname){$errors++;}
التأكد من نوعية البيانات المدخله
عن طريق دوال موجوده فى ملف آخر
حيث أرسل للداله المتغير و نوعه وتقوم هى بمطابقة ذلك بنوعة الحقيقى
و هناك آليه معينه أقوم بعملها للتأكد الفعلى من نوع البيانات المدخله
إستقبال الكاباتشا من الجلسه $_SESSION["captcha"] و إن لم تكن موجوده نزود المتغير errors بواحد
دالة للتحقق من الإيميل و إن كان هناك خطأ يزود المتغير errors بواحد
ثم تشفير كلمة المرور بشكل قوى جداً
إذا كان errors = 0
إتصل بقاعدة البيانات
أرسل إسم المستخدم و بريده إلى دالة التأكد من وجوده مسبقاً و ضع الناتج فى متغير
يرجع هذا المتغير رساله بنوع الخطأ فى حالة وجود شخص مسجل من قبل
إذا كانت لهذا المتغير قيمة زود الأخطاء بواحد
و إلا
قم بتسجيل بيانات العضو فى قاعدة البيانات و ضع قيمة للمتغير $user_add_ok
و أرسل له إيميل بذلك
disconnect
الفورم
و كل البيانات بها لها value من ال $_POST حتى لا يضطر المستخدم لإعادة إدخالها مره أخرى إذا كان هناك خطأ
بعد الفورم يوجد
شرط إذا كان هناك أخطأ
أظهر عبارة
'.$errors.' error(s) have been found in your Entries.<br>
و إذا كان متغير العضو أو الإيميل له قيمه
أظهر العبارة التى يرجعها
'.$user_exists.'
إذا كان المتغير $user_add_ok له قيمة
أظهر عبارة
Congratulations You have been Added <a href=index.php> Home</a>
بإنتظار تعليقاتكم إن شاء الله
وشكراً لكم لحسن تعاونكم
تم إضافة العديد من الخواص على الفورم
أرجو التجربه و إخبارى التقييم
Date of Birth :
اعتقد الزيادة هنا
ام لم تكن ذاكرتي خانتني
ان شاء الله الاخوان بيساعدوك
لم أفهم ما تقصده أخى الكريم ؟؟Date of Birth :
اعتقد الزيادة هنا
ام لم تكن ذاكرتي خانتني
ان شاء الله الاخوان بيساعدوك
لا يستطيع أحد مساعدتك طالما لم تنشر السورس كود.. عدم تنفيذ كود SQL Injuction لا يعني أن الكود سليم من الثغرات. قد يكون السيرفر حمايته جيدة وإعدادته لا تسمح بتمرير الأمر وهذا لا ينفي وجود الخطأ في البرمجة.
المسألة بهذا الشكل تتطلب الكثير من التخمين (وهذا فن بحد ذاته, يجيده الأخوة المصريين) .. ولن تجد من سيضيع وقته.
ههههههههههههههههوهذا فن بحد ذاته, يجيده الأخوة المصريين
إن شاء الله هحط السورس لما أخلص شوية حاجات فيه بس
ضوابط المشاركة
رد مع اقتباس
المشاركة الأصلية كتبت بواسطة الفرجاني 