ممكن مساعدة في حماية البرمجة

[ahmad sadiq]

اعتقد اذا كنت تستخدم الجلسات يجب عليك تغيير مسار حفظها من المجلد tmp في الاستضافة المشتركة
لإن هذا المجلد مرئي للجميع-المواقع المشتركة معك في الاستضافة-(مع انه من الصعب تحديد الجلسة المستهدفة بالنسبة للمخترق)
يمكنك ذلك عن طريقة الدالة
http://www.php.net/manual/en/functio...-save-path.php

وهناك الكثير من السكربتات تحفظ الجلسات في قواعد البيانات، هذه الدالة ستفيدك
http://www.php.net/manual/en/functio...ve-handler.php

يمكن ايضًا تغيير رقم الجلسة عن طريق المتغير SESSID على ما اعتقد وذلك يسمى بال session fixation
بحيث يأخذ المهاجم رقم جلسة ويعطيها للضحية عن طريق عنوان الموقع أي:
example.com/index.php?SESSID=1234
اي انه يرسل الرابط للضحية فيضغط عليه
وبذلك يصبح لديهم نفس الجلسة وبالتالي يدخل على حساب الضحية(هذه حلها سهل جدًا)
http://php.net/manual/en/function.se...enerate-id.php

بالنسبة ل sql injection اعتقد تم حل جزء كبير منها في php5

عليك دائمًا فلترة المدخلات والمخرجات، ولا تدع اي كود html او جافاسكربت او php يتنفذ في موقعك(مصدره من الزائر)

دوال ستفيدك

strip tags
intval
addslashes
http://php.net/manual/en/function.htmlentities.php
http://www.php.net/manual/en/functio...ity-decode.php

هذا ما لدي حاليًا

[ArabCoders]

اخى اذا كنت تعرف الانكليزيه فانصحك بزياره هذا الموقع

http://www.sk89q.com/2009/08/definit...ity-checklist/

فيوجد به كثير من الاقتراحات لحماية البرمجة في PHP، وتستطيع طباعه الصفحه ومن ثم عمل تشيك على كل مشروع

[المغربي محسن]

اخى اذا كنت تعرف الانكليزيه فانصحك بزياره هذا الموقع

للاسف لغتي الانجليزية ضعيفة :s و شكرا على مرورك

اذا كنت تستخدم الجلسات يجب عليك تغيير مسار حفظها من المجلد tmp

انا لا استخدم الجلسات السكربت الدي قمت ببرمجته بسيط الى ابعد الحدود

بالنسبة ل sql injection اعتقد تم حل جزء كبير منها في php5

كيف يمكنين ان اتاكد من ان php 5 هو المستخدم في الاستضافة التي استخدمها

عليك دائمًا فلترة المدخلات والمخرجات، ولا تدع اي كود html او جافاسكربت او php يتنفذ في موقعك(مصدره من الزائر)

يتم الان التحقق من المدخلات والمخرجات و شكرا اخي الكريم على مرورك