و إنطلق الوحش الجديد :) takefastnotes.com

[أبو حميد]

environment معمول على development بالقصد لأنه فعلاً لسا تحت التطوير و أنا أريد مثل هذه الأخطاء تظهرلى , لما أنتهى هخليه production

CSRF مفعل حبيبى شوف السورس كود بتعرف إنه مفعل

حمالية XSS لكل الإنبوت مفعل

تشفير الكوكيز مفعل

بالنسبة لتغيير إسم المجلدات فلا أرى له لزمه ! ولم ينصح أحد به .. ويعمل صداع كبير فى موضوع التطوير


و للعلم هذا أقوى سكربت عملته حتى الآن يا أبو حميد

طيب يعني هو لما عمل sql injection كان يعرف انه اقوى سكربت عملته؟ هذه الأمور لا اهمية لها فالعبرة بالنتائج

تغيير اسماء المجلدات ينصح به الكثيرون، خاصة انه هناك من يحاول الاختراق عن طريق جوجل، بس اذا مش محتاجه مش مهم
كمان ال csrf عادة بنحط في الميتا عشان يتم استعماله بشكل اوتوماتيكي في كل الفورمات
عشان هيك قلتلك دور في الكونفيج، لإنه عادة هيك بعملوها في ال CI
+ لم تستعمل table prefix كما رأيت من اخينا صلاح

C2DM إنتهى .. الآن GCM

ثم إن المشروع لسا ما خلص منه إلا beta بس ... التقيل جى لما نلاقى حد يدعمه إن شاء الله

طيب منا عارف انه انتهى، اصلا مكتوب في صفحته في موقع تطوير الاندرويد ههه، لكن العبرة انه المثال يعتمد على هاي التقنية، يعني اجيبلك GCM وهو اصلا ما عليه مثال مشابه(بالمنطق يعني).

[صلاح الديب]

ربنا يهدينا جميعا

[khashabawy]

طيب يعني هو لما عمل sql injection كان يعرف انه اقوى سكربت عملته؟ هذه الأمور لا اهمية لها فالعبرة بالنتائج

تغيير اسماء المجلدات ينصح به الكثيرون، خاصة انه هناك من يحاول الاختراق عن طريق جوجل، بس اذا مش محتاجه مش مهم
كمان ال csrf عادة بنحط في الميتا عشان يتم استعماله بشكل اوتوماتيكي في كل الفورمات
عشان هيك قلتلك دور في الكونفيج، لإنه عادة هيك بعملوها في ال CI
+ لم تستعمل table prefix كما رأيت من اخينا صلاح


طيب منا عارف انه انتهى، اصلا مكتوب في صفحته في موقع تطوير الاندرويد ههه، لكن العبرة انه المثال يعتمد على هاي التقنية، يعني اجيبلك GCM وهو اصلا ما عليه مثال مشابه(بالمنطق يعني).

كلامك سليم .. فى حالة لو أنا قولت إن الموقع خلص و إنتهيت منه http://takefastnotes.com/notes/show/16

ال csrf يا حبيبى لا أحتاجه فى الميتا لأنه دلوقتى دالة form_open() ترزعه مباشرة فى الفورم
http://codeigniter.com/user_guide/li.../security.html >> آخر سطر


و أعلنت عن متغير جافا سكربت تحت الهيدر إسمها csrf_token للتعامل مع الأجاكس

و ليه أستعمل table prefix >> هيفرق إيه users عن tfs_users .. ؟؟ لكن هناك prefix للخانات جوا ال table نفسه عشان لما يكون فى join query يسهل التفرقه بينهم


بالنسبة للاخ صلاح معملش سكول إنجكشن لأنه معملش إنسرت

السكربت بتاعى فيه جزئيتين بس هما كان مش معمول عليهم حماية من السكول إنجكشن لأنه يتم تجميع ال where statement بتاعتهم خارج ال active record و هما

الأولى : عند الدخول تحتاج للبحث إذا ماكان اليوزر نيم اللى أدخله العضو يوزر نيم أم إيميل لأنه الموقع يسمح لك بالدخول بأى منهما + الباسوورد

الثانية : عند البحث عن كلمة يقطع عبارة البحث إلى كلمات يذهب إلى جدول ال tags يحصل على ids التاجز اللى تساوى أى من كلمات البحث ثم يذهب و بهم أيضاً إلى جدول ال notes و يحصل على النوتس اللى تحتوى فى محتواها أو عنوانها على أى من هذه الكلمات

لذلك يا حبيبى أنا تحتاج لشئ مثل هذا

كود:

select from table where ids IN ( '1' , '2' ) or ( title like '%word1%' or content like '%word1%' or title like '%word2%' or content like '%word2%' ) limit

و كل اللى حصل هنا أنا نسيت أمرر الدخل على
$this->db->escape_str

لأنى نسيت إنى لم أستعمل ال active query


بخصوص ال C2DM
أعتقد دا لمطورى الأندرويد و أنا مطور ويب


للعلم يا جماعه :
كل ماتعلمته فى البرمجه هو إجتهاداً منى و بحثاً على جوجل و ستاك أوفر فلو
فانا لست مبرمجاً دارساً ... بل من هواة البرمجة فقط لا غير
خريج هندسة الإتصالات و الإلكترونيات و ليس لها علاقة بالويب من بعيد أو قريب

[أبو حميد]

اممم...

بتعلق كيف بتستعمل الجافاسكربت،انا مثلا بفصل ملفات الجافاسكربت عن الكود، وبستعمل asset helper عملته بنفسي لتمرير المتغيرات للملفات
ولما تحط التوكن في الميتا هذا الشي بوفر عليك تمرير متغير، او على الاقل خلط الجافاسكربت بالاجاكس ، يعني ممكن تطبعه في اللايوت وتتحصل عليه عن طريق الجكويري ببساطة، اسم الميتا رح يكون عشوائي عشان هيك تقريبًا درجة الحماية واحدة.

بالنسبة لأسماء الجداول ارجع لتعليقات الاخ صلاح ورح تعرف ايش فايدتها، لو غيرت اسماء الجداول لشيء يصعب التنبؤ فيه + لم تظهر الاخطاء صعب جدًا ان يستخدم هذه الطريقة. كمان مش صدفة انه جرب خاصية البحث لإنه هذا الشي معروف وخصوصًا في قوالب الوردبرس عادة ما تكون ثغرة.
ما في داعي يعمل ادخال بكفي انه يسجل دخول كأدمن وقتها ممكن يعمل ادخال على كيفه.

مع هيك كانت مسألة بسيطة وحاسس اني مسكتلك فيها، انا مش مع انك تفحص السكربت في المنتديات لإنه المفروض يخرج إلى العلن يومًا ما، اذا كنت رح تفحصه على اي حال الاحسن يكون في مجموعة مغلقة.

خريج هندسة الإتصالات و الإلكترونيات و ليس لها علاقة بالويب من بعيد أو قريب

اجدع ناس، اصلا لولا شوي خريجي حاسبات ومعلومات ما الهم علاقة بالويب ههههه

[khashabawy]

تقليص حجم فورم تسجيل الدخول






رسالة تنبيه ان هناك بيانات ناقصة




البروفايل الجديد

http://img209.imageshack.us/img209/9962/28719554172.png

[الفريد]

تعديلات أمنية في CI
http://codeigniter.com/user_guide/changelog.html

كود:

Release Date: October 8, 2012
Bug fixes for 2.1.3:

    Fixed a bug (#1543) - File-based Caching method get_metadata() used a non-existent array key to look for the TTL value.
    Fixed a bug (#1314) - Session Library method sess_destroy() didn't destroy the userdata array.
    Fixed a bug where the Profiler Library issued an E_WARNING error if Session userdata contains objects.
    Fixed a bug (#1699) - Migration Library ignored the $config['migration_path'] setting.
    Fixed a bug (#227) - Input Library allowed unconditional spoofing of HTTP clients' IP addresses through the HTTP_CLIENT_IP header.
    Fixed a bug (#907) - Input Library ignored HTTP_X_CLUSTER_CLIENT_IP and HTTP_X_CLIENT_IP headers when checking for proxies.
    Fixed a bug (#940) - csrf_verify() used to set the CSRF cookie while processing a POST request with no actual POST data, which resulted in validating a request that should be considered invalid.
    Fixed a bug in the Security Library where a CSRF cookie was created even if $config['csrf_protection'] is set tot FALSE.
    Fixed a bug (#1715) - Input Library triggered csrf_verify() on CLI requests.

[khashabawy]

أنا شغال بيه لسا محدثه من 3 أيام عشان كان في مشكلة فى الكوكيز فى الإصدار القديم كانت لا تنمسح كاملة و تسبب ظهور مشكلة خطأ عند المستخدمين و خاصة مع إستخدام csrf

شكراً حبيبى

[khashabawy]

أرى ان هناك مجموعة من المشاغبين تحاول العبث ولكن أقصى ما وصلوا إليه هو تغيير قيمة تعبر عن لون الملحوظه ... محاولاتكم الفاشله تزيدنى ثقه فى نفسى ...

inspect element

كود PHP:


            /// if not determined label or trying to play :)
            $colors = array("red","orange","blue","green","black");            
            if(@$note_label == "" || !@$note_label || !@in_array(@$note_label,$colors) ){  $note_label = "blue"; } 


[صلاح الديب]

تعرف علي اد منا معجب ببرمجيتك وعاجبني الموقع علي اد منا خايف من ثقتك فى نفسك دي
علي اي حال احمد ربنا ان فى حد بيبلغك بالثغرات الى في موقعك ..
والى بيدور علي استغلال لثغره عندك وبيحاول يضرك يبقى انسان مريض لا عنده عقل ولا دين
وللمره المليون كوني اني بدور فى موقعك اعرف عاجبني ومش حابب ان حد يسرق تعبك وتصدق ما تصدقش دا شىء راجع لك ويلا عاما انا هاكتفي بكدا ومبروك عليك الموقع
XSS

[khashabawy]

أوووووووووووووه إتخضيت انا كدا

بس بس بس بس هو إنت مش مبرمج !!! أحيييه

شوف كدا يا عسل من غير ما تتعب نفسك ولا تروح تدور خدهم جاهزين أهم من ملف الكونفيج بتاعى



و رينا بقه هتقدر تعمل إيه


الأخ صلاح يا رجاله ... عرف قيمة الكوكيز


يا إبنى يا حبيبى البيانات اللى إنت جبتها دى موجوده فى السورس كود أساساً وفى المتصفح مش محتاجه فزلكه والله لو قريت السورس كود و شوفت المتغيرات اللى بتتبعت مع الأجاكس هتلاقيها موجودا

و مش موجوده بالنيم بس لأ بالفاليو كمان ..

و بعدين هو إنت اللى كنت بتلعب فى الألوان بتاعة ال labels يا صلاح هههههه ماشى يا صلاح إلعب براحتك يا حبيبى إلعب إلعب


و بعدين هو اللى بيحب حد و معجب بالموقع يقوله خد شوف موقعك عمل إيه قدام الناس و sql injection و god be with you و مبروك عليك الموقع

مبروك عليك إنت الزحلقة دى

[صلاح الديب]

ربنا الى عالم الى بالنيات يا استاذ خشباوي

بس عاوز اقولك حاجه اقسم بالله العلي العظيم ياخدني في لحظه منا بكتب لو فكرت اني اضرك او حتي اني اتهكم عليك او لعبت فى متغيرات الالوان الى بتتكلم عنها .. حساب اتحاسب عليه امام الله يوم القيامه ولا اشوف يوم حلو بحياتي لو فى كلمه كدب قولتها

انا فعلا كان قصدي خير وما قصدتش اضرك ..

ومش انت الى هاتعلمني ايه الى فى الكوكيز انا مجرد حطيت مثال وبس !!
كونك انت جاهل بقى دا شىء ما يخصنيش ..
Xss ليه اكتر من استخدام يا عبقري زمانك واوانك
..
ويا ابو حميد ما تكترش الكلام .. لانه عبقري ما بيغلطش

فعلا خير تعمل شر تلقي

اخر رد فى الموضوع وخليك فى موقعك وبطل تحديات انت مش ادها بسرفرك الى لو دخلته من موبيل انترنت هانزله داون بس حرام اصحاب المواقع ايه ذنبهم !

[khashabawy]

أنا جاهل !! مفيش مشاكل !! الله يسامحك ... بس إنت مش مبرمج و متعرفش حاجه و آخرك شوية الهيصة اللى عملتها دى

والعبقرى اللى مبيغلطش دا مهندس و مش أى كلام فى البطيخ يهزه و يقلل من معنوياته يا معلم إنت ..

يا تكلم برمجة يا تسكت ... إنما سكرين شوت فيها الكوكيز و تقولى مبروك عليك الموقع !!!!

يا إبنى الكوكيز اللى إنت جيبته دا بتاعك إنت مش بتاعى ولا بتاع عضو تانى !!! يعنى إنت مخترعتش أى بطيخ فى أى رمان !!!

أنا معتمد على فريمورك من أقوى الفريموركس فى ال php و الحمد لله كل خواص الأمان مفعلة 100 ..

ناقص بقه تعرفنا إنتا لقيت ثغرات إيه ف الموقع و تشرحلنا نسد الثغرات دى إزاى بدل ما إنت عمال تعمل كدا !


1- ثغرة كذا : و طريقة معالجتها كذا
2- ثغرة كذا : و طريقة معالجتها كذا

و هكذا

إنما كلام بقى إكس إيس إيس , سيكووول إنجيكشين و الكلام بتاع توفيق عكاشه دا مينفعش يا برنس فى مجال البرمجيات

1 + 1 = 2 دا اللى أعرفه و إتعلمته

و بعدين متغلطش و إحترم نفسك فى الكلام و إلتزم حدود الأدب لو سمحت , و يا سيدى الخير بتاعك خليه لنفسك مش عاوزه منك طالما هيصاحبه ألفاظ نابيه زى دى

يلا سلام يا حبيبى و أنا فى الحرم و هدعيلك إن شاء الله ربنا يهديك .. هو دا بقى الخير

[PHP Expert]

ممكن أسألك سؤال واحد بس قولى معلومة إيه اللى مطلوبة و مديقاك ؟

إسم المستخدم و الإيميل و كلمة المرور فقط للتسجيل و كل المواقع تطلبهم ... و السؤال السرى لإسترجاع الحساب ! هذا هو الزياده ؟

مرحبا
قبل ان اكتب ردي لك، افضل ان تجعل التسجيل او تسجيل الدخول عن طريق الفيس بوك وتويتر دون الحاجه لعمل تسجيل خاص بك. اغلب الناس لديهم حسابات في تويتر وفيسبوك.


السؤال السري ، لايحتاج، لديك اصلا البريد بالامكان استعادة عن طريقه.
خانة تأكيد البريد،لايحتاج، بامكانك كتابة مربع بالجافا سكريبت يظهر خلال الضغط على ارسال لتأكيد ذلك.

كون اغلب المواقع تطلب نفس الطلبات لايعني انها اجراءات صحيحة. انظر الى هذا الموقع
http://jsfiddle.net

هذا الموقع يوفر لك الخدمة من دون تسجيل واذا احتجت للحفظ مثلا سوف تتمكن من التسجيل.

[PHP Expert]

ياخي خشباوي اهداء شويه ، الشباب قصدهم خير وحتى اصلا من مصلحتك لو يخترقوا موقعك الان حتى تتفادى ذلك مستقبلا. يخترقوا موقعك الان احسن من يخترق احد موقعك وانت لديك ١٠٠ الف زائر.
اختراق برمجياتك ليس عيبا، ليس هناك شيء كامل، من يقول انه يبرمج بدون ثغرات هو كاذب. اي برنامج لابد به من وجود خلل وكلنا نعلم عن اخبار اختراق شركات كبرى مثل تويتر وفيسبوك وقوقل ومايكروسوفت.
وجود خلل في برمجيتك حقيقة مطلقة لاهروب عنها، مهما تعلمت سيبقى الخلل الموجود لذلك تقبل ياخي الكريم كل شيء في صدر رحب

أنا معتمد على فريمورك من أقوى الفريموركس فى ال php و الحمد لله كل خواص الأمان مفعلة 100 ..

بوجهة نظري البي اتش بي بسيط جدا لايحتاج فريموورك. المسأله كلها سحب من القاعدة وعرض للمستخدم وارسال للقاعدة. الفريمورك (الخاصة بالبي اتش بي) بوجهة نظري طبقة من الصعوبة تضيفها على تطبيقاتك.

[khashabawy]

مرحبا
قبل ان اكتب ردي لك، افضل ان تجعل التسجيل او تسجيل الدخول عن طريق الفيس بوك وتويتر دون الحاجه لعمل تسجيل خاص بك. اغلب الناس لديهم حسابات في تويتر وفيسبوك.


السؤال السري ، لايحتاج، لديك اصلا البريد بالامكان استعادة عن طريقه.
خانة تأكيد البريد،لايحتاج، بامكانك كتابة مربع بالجافا سكريبت يظهر خلال الضغط على ارسال لتأكيد ذلك.

كون اغلب المواقع تطلب نفس الطلبات لايعني انها اجراءات صحيحة. انظر الى هذا الموقع
http://jsfiddle.net

هذا الموقع يوفر لك الخدمة من دون تسجيل واذا احتجت للحفظ مثلا سوف تتمكن من التسجيل.

السلام عليكم أخى

إن شاء الله تويترو فيسبوك تم وضعها فى الحسبان : http://takefastnotes.com/notes/show/16

السؤال السرى لم يعد موجوداً فى عملية التسجيل أخى الكريم إنما هو فى البروفايل ... و بإجابة السؤال السرى يتم إرسال الباسوورد الجديدة مباشرة إلى البريد ... أما فى حالة الإستعادة بإستخدام البريد يتم إرسال بريد إلكترونى أولاً للتأكد من أنه صاحب البريد ثم يتم تغيير كلمة المرور

لا توجد خانة لتأكيد البريد !! هل أنت فى موقعى متأكد ؟؟

ربما سأقوم بتوفير خاصية كتابة نوت و إرساله عبر البريد أو تسجيل الدخول لحفظها

ياخي خشباوي اهداء شويه ، الشباب قصدهم خير وحتى اصلا من مصلحتك لو يخترقوا موقعك الان حتى تتفادى ذلك مستقبلا. يخترقوا موقعك الان احسن من يخترق احد موقعك وانت لديك ١٠٠ الف زائر.
اختراق برمجياتك ليس عيبا، ليس هناك شيء كامل، من يقول انه يبرمج بدون ثغرات هو كاذب. اي برنامج لابد به من وجود خلل وكلنا نعلم عن اخبار اختراق شركات كبرى مثل تويتر وفيسبوك وقوقل ومايكروسوفت.
وجود خلل في برمجيتك حقيقة مطلقة لاهروب عنها، مهما تعلمت سيبقى الخلل الموجود لذلك تقبل ياخي الكريم كل شيء في صدر رحب


بوجهة نظري البي اتش بي بسيط جدا لايحتاج فريموورك. المسأله كلها سحب من القاعدة وعرض للمستخدم وارسال للقاعدة. الفريمورك (الخاصة بالبي اتش بي) بوجهة نظري طبقة من الصعوبة تضيفها على تطبيقاتك.

مافى موقع خالى من الأخطاء طبعاً و مافى مبرمج وصل لإنه يعمل برمجيه غير قابله للإختراق ... بل ان أعتبر نفسى أقل مبرمجى سوالف لأنى لم أدرس برمجة الويب فى الكلية و إنما تعمتها بنفسى من الإنترنت

و أنا معك أن إختراق البرمجية ليس عيباً فهو يوضح نقاط الضعف لتقوم بتقويتها

أنا أحترم إخوان كثيرون هنا فى برمجيات سابقة والله والله يعنى من شدة إعجابى بأخلاقهم أتمنى رؤيتهم و مصافحتهم ... هناك أحد الأخوه راسلنى من فتره على الرسائل الخاصة و أخبرنى أنه تمكن من التسجيل فى موقع إلكترونيات عن طريق curl مخالفاً الشروط المخصصه للتسجيل و مقدماً نصيحة بالتأكد من المدخلات بالبى إتش بى وعدم الإعتماد على الجافا سكريبت ... هكذا يكون النصح و هكذا الأخوه فى الله

إنما الأخ صلاح فى أول مداخله ... خد ياعم sql injection ... go be with you و للأسف هو لا يعلم معنى ال سكول إنجكشن

و بالأمس .... xss و جايبلى صوره من الكوكيز بتاعته هو على متصفحه هو و يقولى هوقعلك السيرفر من ع الموبايل .. ههههخخخخخخ


بالنسبة لموضوع الفريموورك أختلف معاك تماماً ... برمجياتى القديمه إستهلكت منى ما يقرب من ثلاثة أضعاف المده المستخدمه فى برمجة نصف الكود المكتوب بإستخدام فريموورك ... الفريموورك سهولة .. أمان .. قدره على التعامل مع اكثر من ستايل و أكثر من لغه بسهولة تامه تامه تامه