هل ترغب بعنوان متغير index.php?S=rreryeyeew63636

[irctoolz]

السلام عليكم احب اطرح على بعض الاشخاص المهتمين بتحديث الصفحات كما هو الحال في منتديات vb حيث تلاحظ دائما ظهور حروف متغيره في العنوان مثل
h t tp :/ْْxxxx. com/montda/forumdisplay.php?s=1408e06a5e7f8fa1304f9ed644a23577 &forumid=16
كما تشاهدون في المثال السابق الاحرف الارقام التي باللون الاحمر متغيره باستمرار وبشكل عشوائي والهدف منها ايهام المتصفح في كل مره انه يقوم بفتح صفحه جديده والغرض من ذلك تحديث المعلومات وخصوصا في المنتديات او البرامج المشابهه لها
اقدم لكم هذا الكود لعل البعض يستفيد منه
الكود مأخوذ من برنامج vcard

كود PHP:

<?
function get_rand_id()
{
    $pool  = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ'; 
    $pool .= 'abcdefghijklmnopqrstuvwxyz'; 
    $pool .= '0123456789'; 
    mt_srand ((double) microtime() * 1000000);
    $unique_id = "";
    for ($index = 0; $index < 10; $index++)
    {
        $unique_id .= substr($pool, (mt_rand()%(strlen($pool))), 1);
    }// end for
    $unique_id = date("Hms").$unique_id;
    return $unique_id;
}// end get_message_id 
?>

الكود السابق يوضع في ملف functions.php او حسب رغبتك
تستدعيه بالامر

كود PHP:

<?
include("functions.php");
$randID = get_rand_id();
?>

وتصبح الروابط بهذا الشكل
مثال
http://h tt p://w ww.ْْxxxx.com/mont...display.php?s=$randID
طبعا انا ضربت مثال وتستطيع عمل الطريقة بعدة أشكال
والمعذرة إذا الشرح غير كافي

[rafia]

جرب
الاسهل

كود PHP:

<?
$session =  md5(uniqid(rand()));
 news.php?action=add&s=$session
?>

[irctoolz]

شكرا اخي رفيع على المرور والأسهل أحسن بكثير جزاك الله خير

[alpah_R]

الله يرضى عليك ...

تسلم ايديكم يا شباب ...

[omars]

ميزة جميلة جداً :: كيف استخدمها في ملف index.php لموقعي ؟؟

[PocketPC]

ملاحظة ، الهدف ليس إيهام المستخدم بأنه يفتح صفحة جديدة
في الواقع هذه السلسة من الأحرف والأرقام التي يتم تمريرها عبر البارمتر "s" ، هو عبارة عن معرف جلسة Session ID ، فالمراد هو تمرير معرف الجلسة في جميع الصفحات لتسهيل الحصول على معلومات المستخدم الزائر للصفحة

لترى كيف يمكن عمل هذه بسهولة جرب المثال التالي:

كود PHP:

<?php
session_start();
?>
<a href="?s=<?=session_id()?>">Click Here</a>

ها قد حصلت على سلسلة غريبة من الأحرف و الأرقام و التي هي عبارة عن Session ID و هي مشابهة لفي بي

[[Dynamic]]

اخوي PocketPC ...

كلامك رائع ... لكن الهدف ليس " لتسهيل الحصول على معلومات المستخدم " ...

الهدف اننا نتاكد ان كل شخص يقدر يتابع الجلسه (Session) ايا كان متصفحه ... و ايا كان دعم للكوكيز ....

كذلك عشان يصير الكود سليم و مفيد ..

كود PHP:

<?php
session_start();
## my edit
session_name('s');
##
?>
<a
href="?s=<?=session_id()?>">Click
Here</a>

[AraPHP]

أيضاً .. يمكن بكل سهولة هكذا ..
لكي تضمن ظهوره في كل ارتباط .. ولكي تتخلص من استخدام الكوكيز (البصمات) الذي قد يكون ثغرة للدخول في حسابات الآخرين .. عند استخدام جهاز عام .. (وجهة نظر)

كود PHP:

<?php
ini_set( 'session.name', "s" );
ini_set( 'session.use_cookies', 0 );
session_start();
?>
<a
href="?<?=SID ?>">Click Here</a>

[[Dynamic]]

اخوي الكوكيز الخاصهبالسيشن ..... بمجرد ما تقفل النافذه تنمسح .... ما فيه اي ((خطر امني)) ....


.. اخوي ال(ثغره) ... تختلف عن موضوع (سرقة الكوكيز الخاص بكلمات المرور) ..... باي حال هذا ما يسمى ثغره

[AraPHP]

ما عليه أخي .. لكي لا يبقى كوكيز على جهاز المستخدم .. نعم تنتهي الكوكيز عندما يغلق جميع نوافذ المتصفح، لكن في حال لم تغلق جميعها أو على شبكة واحدة أو عن طريق بروكسي مزود الخدمة ..

ربما هو احتمال ضعيف .. لكن كما يشير إلى هذا دليل PHP فهو لا يعتبر آمناً يمكن الاعتماد عليه مطلقاً في توثيق دخول مستخدم ..

عموماً الكود الذي وضعته أؤكد أنه يظهر معرف الجلسة (Session ID) .. وقد جربت الكود أعلاه وأظهره مرة ثم اختفى ..

[rafia]

اخوي AraPHP جرب بستخدام الدالة session_id() على نفس الكود الذي وضعته
ما راح يختفي ابدا
جرب

كود PHP:

<?php
ini_set( 'session.name', "s" );
ini_set( 'session.use_cookies', 0 );
session_start();
?>
<a
href="?s=<?=session_id()?>">Click
Here</a>

[[Dynamic]]

كل شي وارد ... لكن لو تم شي مثل هذا الخطأ على المستخدم ... يعني توافقني ان الثغرة لها معنى ثاني

لو الموقع مهم جدا -تجاري مثلا- ... اعتقد ان الاحتياط مثل هذا مهم .. لكن بالوضع الطبيعي ... ما اعتقد المفروض نفكر بهالاحتمال ....

لان اعتقد توافقني ان الشخص اللي بيوصل للكوكي احتمال كبير يقدر يوصل لكلمة المرور ....

[AraPHP]

أخي rafia

أنا أقصد هذا الكود

كود PHP:

<?php
session_start();
## my edit
session_name('s');
##
?>
<a
href="?s=<?=session_id()?>">Click
Here</a>

أما هذا

كود PHP:

<?php
ini_set( 'session.name', "s" );
ini_set( 'session.use_cookies', 0 );
session_start();
?>
<a
href="?<?=SID ?>">Click
Here</a>

فهو ما قلت أنا أنه مؤكد ظهور معرف الجلسة فيه ..
وأنت غيرت ثابت الجلسة إلى دالة إظهار معرف الجلسة ..
ثابت الجلسة يعطي (الاسم = معرف) أما الدالة session_id() فتعطي (معرف) فقط ..

أخي [Dynamic] ... ما قصدت ثغرة بالمعنى المعروف لها vulnerability .. لاشك أن الثغرة تكون في أحد التطبيقات .. كنت أقصد أنها ليست آمنة مطلقاً كما يزعم هذا دليل الـPHP نفسه ..

[PocketPC]

السلام عليكم

أخي Dynamic ، يبدو أنك لم تدقق في جملتي جيدا ، فأنا قلت "فالمراد هو تمرير معرف الجلسة في جميع الصفحات لتسهيل الحصول على معلومات المستخدم الزائر للصفحة"
فأن أقصد أن الفائدة هي تمرير معرف الجلسة حتى يتمكن البرنامج من الحصول على المعلومات المرادة ، و هذا الأمر يسهل الحصول على معلومات المستخدم دون الحاجة للتحقق من تفعيل الكوكيز
النقطة الأخرى ،، أن الهدف الحقيقي ليس التأكد من أن البرنامج يستطيع متابعة الجلسة في جميع الأحوال ،لأنه في الواقع هذه الطريقة وجدت للذين لا يفعلون الكوكيز فقط ، فمثلا في JSP ، الدالة encodeURL المعرفة ضمن الكائن response و المخصصة لإضافة معرف الجلسة للعنوان لاتعمل في حال كون الكوكيز مفعلة
تخيل لو أن الكوكيز مفعلة لدى المستخدم و كان معرف الجلسة مكتوب في العنوان و موجود في الكوكيز للمتصفح ولكن بمعرف مختلف ، سيصبح هناك خلبطة للمبرمج نفسه لأنه قد يستغرب كيف تكون المعلومات مرصودة رغم أن معرف الجلسة غير موجود بالعنوان وهو في الواقع تم تسجيله بالكوكيز ، لذا فالذي يريد إلإستفادة من كونها تتأكد من إمكانية متابعة البرنامج للجلسة في جميع الأحوال ، فإن عليه تعطيل session.use_cookies وتحمل بعض المخاطر التي قد تحصل جراء هذا

من ناحية كون استخدام الكويكز لحفظ معرف الجلسة ثغرة ، فباعتقادي أن جعلها تعمل عن طريق الكوكيز فقط أكثر أمنا (وذلك بتفعيل session.use_only_cookies) حيث أن الحصول على معرف الجلسة عن طريق العنوان له آثار سلبية ، فمثلا لو ان هناك رابطا خارجيا فسيمكن الحصول العثور على رقم المعرف عند تصفح الـ Referrers التي تخزن في ملف log

[[Dynamic]]

AraPHP ... كنت متاكد انك ما تقصد كذا ... لكن انت تعرف اكثر الناس اللي بيطلعون على الموضوع بيفهمونها ثغره .....

---------------------------
PocketPC
اخوي الحين المبرمج ماله علاقة باي شي .. متابعة الكوكي تتم بشكل تلقائي .... يعني كل المطلوب منك كتابة session_start و تحديد اسمها اذا ما كان الاسم الافتراضي ......
بمعنى ثاني ... الكوكي هذا ... ينزلها المتصفح من نفسه .. و يطلعها ويرسلها للبرنامج من نفسه ....
لو ما كانت موجوده .. المتصفح يرسل المتغير بالعنوان .. كل هذا تلقائيا .....

اما موضوع الامان ... الاحتمالات كلها اللي تكلمتوا عنها ضعيفه جدا .... لان السيشن مجرد (الانتقال) من الصفحة يتحطم !! كيف تستفيد من "Referrers التي تخزن في ملف log"