أسئلة لمحترفى mysql و php

[the net lion]

السلام عليكم
كيف حالكم يا أعضاء المنتدى الكرام ؟
اتمنى ان تكونوا فى تمام الصحة والعافية
انا لدى بعض الأسئل بخصوص php و mysql
وهى مرتبة من الأسهل للأصعب
أرجو ان لا تبخلوا على بأى اجابة على اى سؤال منهم

الأول
هلى تكفى الدالة mysql_real_escape_string
للحماية من المدخلات
والدالة htmlspecialchars للحماية من المخرجات
ام اننى احتاج الى الدالة addslashes ?

السؤال الثانى هل ال php قادر على التعامل مع قواعد بيانات اخرى غير mysql

السؤال الثالث
هل عندما اقوم بتشفير البيانات المدخلة تشفير md5
اقلل بذلك الضغط على سرفر ال mysql أم ماذا ؟
السؤال الرابع والذى اظن ان لن يستطيع احد الاجابة عليه
كيف اعمل قاعدة بيانات ومستخدم لهذه القاعدة واعطيه صلاحيات
كما فى الاستضافات مثلا
وشكرا جزيلا لكم

[محب الله ورسوله]

الجواب الأول : لا
وظيفة mysql_real_escape_string هي نفسها وظيفة addslashes وهي وضع باك سلاش لتعطيل الرموز '
وبعد ادخال المحتوي للقاعدة فهو في الداخل قد يكون يحتوي علي اجواد جافا سكربت خطيرة وحينما تجلبه وتعرضه ستعمل عملها

اما وظيفة htmlspecialchars هو استبدال رموز ال html بالأسكي كود لا فلا تعمل ف < و > ستصير الأسكي كود الخاصة بها وتظهر في المتصفح بدون تنفيذ لكونها مجرد رمز للظهور ( افتح السورس كود الأن وشاهد ردي منه لتعرف ما اقصده )
وهي كافية بأعتقادي لمنع ثغرات الجافا سكربت مع استخدام addslashes معها
ولكن ماذا عن ال sql_inj ؟
كل هذا غير كافي ويجب ان تكتب تعليمة السكول بطريقة غير قابلة للأكمال عليها بالفصل ( اي اكمال تعليمتك ثم ادخال جدول اخر مع المطلوب ) او بالوصل ) بأستخدام union ووضع تعليمة اخري وظيفتها مسح جدول او ازالة جدول كامل من قاعدة البيانات لديك )

فهذه التعليمة تحوي ثغرة sql

كود PHP:

$username = mysql_real_escape_string($username);
mysql_query('select * from user where username = ' . $username); 


حيث يمكن لمن يدخل الأسم ان يستبدله بالأسم وبجانبه union ثم تعليمة سكول اخري

الجواب الثاني نعم هي قادرة علي التعامل مع كل انواع قواعد البيانات ODBC
وهذه قائمة بأشهر ما يمكنها التعامل معه

PHP: What can PHP do? - Manual

مع العلم ان هناك اضافة خارجية ( أكستنشن ) للتعامل مع كل انواع قواعد البيانات تلك
لها طريقة اتصال واحدة ولها طريقة ترسل لها الكويري ومهما كانت نوعية قاعدة البيانات ستتكفل هي بالمطلوب
حتي لو اردت في المستقبل ان تغير قاعدة البيانات لديك من نظام لأخر لا تحتاج للتغير علي برمجيتك بل فقط تغير بيانات فتح الأتصال بهذه المكتبة
المكتبة تسمي PDO ولها شرح هنا في المنتدي من عضو مبدع اسمه mr ms ( للأسف لا اذكر الاسم بالضبط )

الجواب الثالث لم استطيع فهمه
وماذا بعد تشفيرها وتخزينها كيف ستفك التشفير

الجواب الرابع

لدي تعليمات السكول لعمل ذلك ووضعتها في سكربت تحويل الترميز وقامت بالعمل حقاً علي السيرفر الشخصي ولكنها لا تعمل علي الاستضافة
تعليمة لعمل قاعدة بيانات جديدة
وأخري لعمل يوزر وباس جدد للماي سكول
وأخري لأعطائها صلاحيات كاملة علي هذه القاعدة

ولكن لما لم تعمل ؟

في الاستضافات حينما تقوم من داخل السي بانل بعمل يوزر وباس فهي تعمل لك يوزر وباس ليس علي الماي سكول كلها علي السيرفر بل علي حسابك انت فقط
ثم تربطها بقاعدة فلا يمكنك ربطها سوي بقاعدة علي حسابك انت فقط

اي تعليمة سكول ستنفذها من ال php ستذهب وتتصل بالماي سكول باليوزر والباس التي وضعتها في دوال الإتصال mysql_connect
والتي بالطبع ليس لديها صلاحية لتمررك للماي سكول لتعمل يوزر وباس جدد عليها
فتعود لك بخطأ

ولكن لو مازلت تريد هذه التعليمات أمر اخي وبكتبها لك للأفادة

[the net lion]

شكرا جزيلا لرد حضرتك
ممكن تعطينى دالة للتأمين 100%

وممكن تعطينى رابط هذا السكربت ؟ او الدوال التى نفذته ان لم اكن سوف اتعبك

وانا كنت اقصد بالنسبة للتشفير
مثلا لو عملنا متغير جديد فيه الموضوع الى انا كتبته وشفرناه ب md5

كود PHP:

echo md5("السلام عليكم
كيف حالكم يا أعضاء المنتدى الكرام ؟
اتمنى ان تكونوا فى تمام الصحة والعافية
انا لدى بعض الأسئل بخصوص php و mysql
وهى مرتبة من الأسهل للأصعب
أرجو ان لا تبخلوا على بأى اجابة على اى سؤال منهم

الأول
هلى تكفى الدالة mysql_real_escape_string
للحماية من المدخلات
والدالة htmlspecialchars للحماية من المخرجات
ام اننى احتاج الى الدالة addslashes ?

السؤال الثانى هل ال php قادر على التعامل مع قواعد بيانات اخرى غير mysql

السؤال الثالث
هل عندما اقوم بتشفير البيانات المدخلة تشفير md5
اقلل بذلك الضغط على سرفر ال mysql أم ماذا ؟
السؤال الرابع والذى اظن ان لن يستطيع احد الاجابة عليه
كيف اعمل قاعدة بيانات ومستخدم لهذه القاعدة واعطيه صلاحيات
كما فى الاستضافات مثلا
وشكرا جزيلا لكم
"); 


سوف يتكون لنا 32 حرفا هكذا

كود:

6fae7d50224edd48df9e61b92ffa4f0b

الان اذا ادخلنا القيمة المشفرة
فكل الذى نحتاجه حقل من نوع char وقيمته 32
وبالتالى نخفض الضغط على قواعد البيانات
هل هذا صحيح ؟
وهل فك التشفير يأخذ وقت ام لا
وهل عند فك التشفير سوف يهلك السيرفر مثل استخراج بيانات من قاعدة البيانات ام لا
وشكرا جزيلا مرة اخرى ردك حضرتك ويا ريت كل الناس تبقى متعاونة زى حضرتك

[محب الله ورسوله]

اهلاً أخي
التشفير من نوع md5 هو تشفير في اتجاه واحد لا فك له ولا يمكن ان يكون له فك ولا حتي ممن قام بعمله كونه يحذف الكثير من الرموز بداخله ولا يمكنك معرفة ما تم حذفه لتعود به
فهو تشفير للمقارنة وليس للفك وبالتالي فهو تشفير في اتجاه واحد

ممكن تعطينى دالة للتأمين 100%

ليس لدي مثل هذه الاشياء ولكني استخدم الدوال العامة التي تحدثت انت عنها ولكني اتعامل مع كل موضع بحسب الحماية الواجب توافرها في هذا المكان
والله ييسر الأمر

[the net lion]

اهلاً أخي
التشفير من نوع md5 هو تشفير في اتجاه واحد لا فك له ولا يمكن ان يكون له فك ولا حتي ممن قام بعمله كونه يحذف الكثير من الرموز بداخله ولا يمكنك معرفة ما تم حذفه لتعود به
فهو تشفير للمقارنة وليس للفك وبالتالي فهو تشفير في اتجاه واحد



ليس لدي مثل هذه الاشياء ولكني استخدم الدوال العامة التي تحدثت انت عنها ولكني اتعامل مع كل موضع بحسب الحماية الواجب توافرها في هذا المكان
والله ييسر الأمر

جزاك الله كل خير
ونسيت ان md5 يشفر فى اتجاه واحد
طب ممكن حضرتك تعطينى رابط السكربت الذى يحتوى عمل مستخدم لقاعدة بيانات
ويا ريت لو فى شرح للحماية هنا
او اين اضع هذه الدوال فى مكانها المناسب
وشكرا جزيلا لحضرتك