حماية كلمة سر قاعدة البيانات و أيضا ZEND

[قاصد]

بسم الله الرحمن الرحيم
الحمد لله والصلاة والسلام على رسول الله وعلى آله وصحبه ومن والاه

السلام عليكم ورحمة الله وبركاته

اخواني عندما انتهيت من تصميم جزء كبير من موقعي بالـPHP والـMySQL ولله الحمد, بدأت أحس بأن الموقع غير محمي لذلك لم أنشره على الملأ بالشكل الصحيح وأنا متوجس من ذلك وأيضا أظن أن الأغلبية مثلي يجهلون الكثير عن حماية المواقع والتصدي للاختراق لذلك فأرجو من من لديه الخبرة أن يناقش معنا المسائل التالية أو حتى يجيب عنها إن عرف شيئا ويتوكل على الله

• ماهي طريقة حماية كلمة سر قاعدة البيانات وملف config.php
  هل هي بوضعه في المجلد الرئيسي للموقع بحيث لا يستطيع أحد الوصول إليه (أعني المجلد البعيد يعني في بداية الـroot وقبل www)
  هل هناك إعدادت معينة تجعل الهكر يقف عاجزا عن الوصول للconfig
• ZEND optimizer هل تركبه شركات الاستضافة بدون خوف يعني هل ستقتنع الشركة التي يستضيف عندها شخص ما بسهولة بهذا البرنامج أم أنه قد يؤثر عليها أو على المستخدمين الآخرين وأظنه يغير في php.ini وهل هناك برنامج بديل
• هل هناك تشفير لملف الconfig لا يتطلب برنامج خاص يركب على السيرفر (أعتقد أنه لا يوجد)
• قال لي أحد الإخوة في الإنترنت بأن موقعي (موقع سابق غيرته الآن) به ثغرات وقال بأنه سوف يوافيني بالثغرات وهذا الكلام منذ مدددددة لعله انشغل فلا أحب أن ألزم شخصا بأن يفعل مالايجب عليه وأسامحه أيضا
• لذلك من يعرف ما هي الثغرات في المواقع التي نملكها بشكل عام حتى يستفيد الجميع وكيف يمكن إغلاقها أو سدها ,وأي مقالة إنجليزية أوعربية تتكلم عن ذلك فلا أتوقع منكم إلا الكرم في نشر العلم
• وفي الأخير هل أنا محق في احساسي بأن الموقع مكشوف للكثيرين من المتطفلين أم أنها مجرد وسواس

دعونا نستفيد من وقتنا ونتعلم فما ولد إنسان عالم
ومن كان يعرف شيئا فليدلي به مشكورا مأجورا إن شاء الله

خارج الموضوع
----------------------------------------------------
وفي النهاية (موقعي فكرته مميزة وستعجبكم ان شاء الله ولكن ليس هذا وقت الإفصاح عنها وهو موقع متخصص بالحاسب الآلي وتقنية المعلومات) هذه المعلومات كافية حاليا
----------------------------------------------------

انتهى
ومبارك عليكم الشهر

[MR.CGI]

موضوع مهم

هل هناك إعدادت معينة تجعل الهكر يقف عاجزا عن الوصول للconfig

هذه تحسب حسب صلاحيات الهاكر فلو كان رووت يبقى مفيش غير الدعاء لله انه يعميه عم موقعك هذا بالأضافه الى نسخ قواعد البيانات بصفه دوريه ..

اما بالنسبه للمتسللين من الجيران الذين يتخطوا السيف مود فهؤلاء يجب ان نحمى انفسنا منهم وخاصه لان معظم السيرفرات العربيه لا يوجد عليها حمايه قويه تمنع من التخطى للمواقع المجاوره ....

بالنسبه لكيفيه حمايه ملف config.php الخاص بالمنتدى او اى ملف يحتوى على باسوورد ويوزرنيم قاعده بيانات اى اسكريبت :

سوف اذكر بعض الخطوات التى تجعل من الوصول لهذا الملف صعبه :

1- ننشىء مجلد وليكن اسمه zxvds فى المجلد البعيد يعني في بداية الـroot وقبل www

2- نقوم بتشفير ملف الكونفيج بالزيند
3- نضع ملف ال config.php بداخل هذا المجلد

وننشيء ملف ونضع فيه الكود الأتى :

كود PHP:

<?php
//هنا نضع مسار ملف الكونفيج
include("../../zxvds/config.php");

//أترك باقى الخيارات فهي خدعه
/////////////////////////////////////////////////////////////
// Please note that if you get any errors when connecting, //
// that you will need to email your host as we cannot tell //
// you what your specific values are supposed to be        //
/////////////////////////////////////////////////////////////

// type of database running
// (only mysql is supported at the moment)
$dbservertype_trick="mysql";

// hostname or ip of server
$servername_trick="localhost";

// username and password to log onto db server
$dbusername_trick="fuck you";
$dbpassword_trick="hahaha";

// name of database
$dbname_trick="the smartest";

// technical email address - any error messages will be emailed here
$technicalemail_trick = "welcome in my config mr hacker";

// use persistant connections to the database
// 0 = don't use
// 1 = use
$usepconnect_trick = 0;

// which users are allowed to view the admin log
// separate each userid with a comma
$canviewadminlog_trick = "1";

// which users are allowed to prune the admin log
// separate each userid with a comma
$canpruneadminlog_trick = "";

?>

ونسميه config.php ونضعه فى مجلد الأدمن الخاص بالمنتدى

بالطبع قبلما نضعه نقوم بتشفيره بالزيند

ويبقى ياقابلنى

طبعا هذا لو كان من الجيران وهذا فى 99% من الحالات...

اما بالنسبه لتشفير ال php فيوجد عدد من البرامج التى تقوم بالتشفير من غير ما تحتاج لتنصيب على السيرفر ولا غيره مثل :

ionCube Standalone PHP Encoder

http://www.ioncube.com/

اما بالنسبه لثغرات موقعك فلابد اولا من معرفه تللك الثغرات وهذا يتم

عن طريق عمل مسح كلى للسيرفر او للموقع ويتم بعده طرق منها

برامج ومن اشهر هذه البرنامج برنامج Shadow Security Scanner

فيقوم هذا البرنامج بالبحث عن الثغرات ويعطيك فكره عن كيفيه غلقها...

اما عن احساسك فأحساسك صحيح مليون بالمائه

مبروك على الموقع وفى انتظار الأعلان عنه

[THE STUDENT]

مشكور اخى على الموضوع ولكن ياريت يتم توضيح كيفيه منع تشغييل تللك الاسكريبتات على السيرفر (( بالنسبه لأصحاب السيرفرات ))

وما هى الخطوات اللازمه لزياده الحمايه على السيرفر ؟