حماية المجلد بال htaccess كفيله بحماية ما بداخله ؟؟؟؟

Danger_Zone · 18-04-2005, 11:32 AM

السوؤال مبين من عنوانه

إنترنت بلس · 18-04-2005, 12:21 PM

أنا لا أعرف إذا كانت لهذه الطريقة عيوب .. شخصيا أعتقد أنها كافية ..

Danger_Zone · 18-04-2005, 12:59 PM

هل هي دائما كافيه

حاليا احتاجها لحماية مجلد ملفات إدارة بسيطة لكني اتسائل اذا كانت فعالة وآمنه لما لا يتم استخدامها في كثير البرامج مع انها توفر الجهد والوقت

Myrosy · 18-04-2005, 04:13 PM

نعم هي كفيلة بحمايته ...
وهي أأمن طريقة ولم أسمع بأنه تم اختراقها من قبل ...

ياقلبي · 21-04-2005, 12:07 AM

طيب لو استخدمناها في حذف ملفات لا نريدها لو قام احد برفعها للموقع ؟؟

مثلا نبيها تحذف ملف ( php )

هل هي كفيلة بالحماية او لا ؟

ولو افترضنا ان الملف رفع هكذا test.jpg.php او test.jpg.gif.php

هل تقوم بالتشيك على اول امتداد test.jpg.php او على اخرة test.jpg.php

<= داخل عرض

إنترنت بلس · 21-04-2005, 12:24 AM

أنا لسه شايف طريقة أحد الإخوة نقلها مشكورا من منتدى آخر .. المشاركة اسمها الخبراء في الاختراق الرجاء الدخول .. وطريقة ممتازة بصراحة .. وأعتقد htaccess كفيلة بالحماية لسبب: أنها أول شيء ينفذ مع كل طلب للصفحات بالموقع ..

Myrosy · 27-04-2005, 06:29 PM

الاخ يا قلبي
سواء كان الملف php او gif أو jpg أو ...الخ
السيرفر يقوم بقراءة وتنفيذ الأوامر في ملف htaccess ومن ثم يقوم بعرض ما في المجلد ...
هو كبوابة المجلد ( سكورتي ) وأعتقد بأن مسماه واضح ولا يحتاج الى شرح...
لا تفكر بكيفية إختراقه .. لأنك لن تتمكن من ذلك إلا عن طريق تغيير أولويات قراءة الملفات في السيرفر نفسه أي في الـ Opreating System

ياقلبي · 27-04-2005, 08:49 PM

شكرا لك اخي انترنت بلس والشكر موصول ايضا ً اليك اخي Myrosy

لكن لا اتكلم عن اختراق الـ htaccess

الذي اريد معرفتة هو .. كيف يعتمد ملف الـ htaccess على قراءة اسماء وأمتدادات مالفات المرفوعة للمجلد

هل هو يقوم بالتشيك على اخر امتداد للملف ؟؟

ولو قمت برفع ملف على هذا الشكل test.jpg.php هل سيقوم بالتشيك على jpg وبعدها ينتقل الى php اخر امتداد

ام انة يقوم بالتشيك على اول امتداد ياتي بعد النقظة (.) ويهمل مابعدها حتا لو وضعت الملف بهذا الشكل test.jpg.php فسيقوم بأعتبارة على انة ملف صورة وليس ملف php

الذي اريدة هو الية عملة ماهي ؟

ارجو ان اكون قد اوضحت لك ..

وشاكر لك ومقدر

riya · 28-04-2005, 04:04 AM

ياقلبي
الملف
مايمنع تحميل ملفات php
بتنرفع لمركز التحميل عادي اذا كن فيه ثغره مثلا
ولكن بعد الرفع وطلبها من المتصفح
بتفتح على شكل ملف تكست ولن تنفع بشي
سيستطيع قرائة الملف فقط لا اكثر
ما يستفيد منه ابدا

إنترنت بلس · 28-04-2005, 05:10 AM

فهمتك .. يقوم بالتشييك على ما تطلبه منه

يعني طريقة كتابتك في htaccess هي التي تحدد .. ممكن تقول له اللي اخره كذا كذا .. أو اللي بعد أي نقطة في اسمه كذا كذا (على اعتبار أن الملف ممكن يكون في اسمه نقطة غير النوع) ..

على فكرة ..
إذا كان كل كلامك عن مراكز التحميل فلا تعتمد على htaccess .. لأنه كما قلت طريقة كتابتك في htaccess قد تترك ثغرة لم تغطها أنت فيه .. لذلك دائما أفضل طريقة هي التأكد من نوع الملف عن طريق php ..

ياقلبي · 29-04-2005, 06:03 AM

اشكرك اخوي ريا ... فقد بينت لي المطلوب واوضحت لي ماكنت اجهله بخصوص عمل ملف الـ htaccess

والشكر موصول اليك ايضا اخي انترنت بلس .. فعلا هذه مشكلة ايضا ً اذا كان الملف يسفتح لدي ثغرات متعلقة في برمجة الـ php

ونعم انا اريدة لكي اضعة في اي مجلد يحمل الترخيص 777 لكي يكون مكمل للحمايلة لو حصل ثغرة في احدى السكربتات التي تستخدم التصريح 777 في احد مجلداتها .. السوأل الان هل هو كفيل بالحماية ؟؟

وأريد منك الاجابة على هذه النقطة اخي انترنت بلس مشكورا ...

مارايك في هذه الدالة ..

كود PHP:

  explode("." ,$file_name,2);

هل هي كفيلة بمنع التلاعب في امتداد الملف ؟ على ان يكون هكذا مثلا test.jpg.php

وشي اخر هل يوجد دالة او طريقة افضل وأقوى منها من حيث التأكد من اسم وأمتداد الملف .. ام هي كافيةووافية ؟

بارك الله فيكم

إنترنت بلس · 29-04-2005, 09:06 PM

هذه هي الطريقة السيئة أو "البلدي" في التحقق من نوع الملف .. لأنك هكذا لا تتحقق من نوعه .. التحقق من نوع الملفات له دوال خاصة به في المانيوال والله لا أذكرها الآن لأني مشغول .. لكن ادخل المانيوال وابحث عن:
mime type
وسيعطيك دالة معرفة نوع الملف .. وإن كان عيبها على ما أذكر احتياجها لمكتبة برمجية مستقلة تضاف على PHP ..
وابحث عن:
image type
وسيعطيك دالة معرفة نوع الصورة ..
أعتقد سكريبت اتصل بنا الإصدار الثاني الذي فيه مرفقات فيه طريقة التأكد من نوع الصورة ..

ياقلبي · 29-04-2005, 09:44 PM

شكرا لك اخي انترنت بلس .. واعانك الله على مشاغلك

لكن المشكلة تكمن في ان السكربت ليس لتحميل الصور فقط بل انه يستخدم لرفع الملفات كافة

ولذالك وضع فية هذه المصفوفة ...

كود PHP:

  $types = array("zip", "rar", "swf", "txt", "gif", "jpg", "png", "GIF", "TXT", "ZIP", "JPG");

وهذا هو الملف uploader بالمرفقات

لو امكنك دراستة والتعديل علية بحكم خبرتك .. ساكون لك من الشاكرين .. لاني لاافقة شي بالي اتش بي سوا الامر انكلود

مع العلم ان الملف لايتعدى بضعة سطور قليلة التي فيها الشروط

وأذا وقتك لا يسمح فأنت معذور اخي انترنت بلس

لا حرمك الله الاجر

إنترنت بلس · 29-04-2005, 09:52 PM

لا توجد مشكلة يا أخي ..
لكن الطريقة تتطلب تركيب مكتبة برمجية ولا أعرف إذا كان بإمكانك تركيبها على السيرفر أم لا .. كذلك الطريقة موجودة بالفعل في المانيوال .. سوف أحضر لك الأمر الآن ..

أوكي
http://www.php.net/manual/en/functio...ntent-type.php

ياقلبي · 29-04-2005, 10:28 PM

والله ماعرفت شي

شكرا لك اخي انترنت بلس

إنترنت بلس · 29-04-2005, 11:11 PM

واله يا أخي الحبيب لو عندي وقت كنت عملتهالك .. لكن اعذرني بارك الله فيك

gharbawi · 30-04-2005, 01:59 AM

افضل الطرق للتحقق من الملف قبل رفعة هي وضع متغيرين يحمل احدهما المسموح والاخر الممنوع وعند البدء في التحميل نمرر الملف عليهما كليهما
مثال :
المتغيران => المسموح والممنوع :
سوف يتم القراءة من النهاية ومن البداية مهما عبث بمسمى الملف
مثلا سوف نمنع كل الملفات الغير مرغوب فيها كذلك كل ملف يحمل الاسم index
وسوف نسمح بالصور والملفات المضغوطة والاتش تي ام ال

كود PHP:

  //By Ghrabawi 

//rejected files

$rejectedFiles = "^index.|.phtml$|.php$|.php3$|.cgi$|.pl$|.php5$|.phtm$|.htaccess$";

//Allow files

$allowFiles    = ".gif$|.jpg$|.png$|.zip$|.tar$|.html$|.htm$";

وعند البدء في الرفع نضيف ضمن شروط التحقق شرط يمرر الملف المرفوع على محتوى المتغيران اعلاه للتأكد من انه ليس من ضمن الممنوع وانه ايضاً ضمن المسموح (تقريباً مثل شهادة المرأه ان تضل احدهما فتذكرها الاخرى)
مثال:

كود PHP:

  //extra conditions

//$targetFile = $_FILES[image]; 

if(.... AND(!eregi($rejectedFiles, $targetFile['name']))AND (eregi($allowFiles, $targetFile['name'])))

{

//start uploading ...100%....

}

else{

 //server is sleeping now ! try again later .

}

اخوكم

ياقلبي · 30-04-2005, 12:45 PM

بارك الله فيك اخي انترنت بلس ... وعذرك معك اخي

والشكر موصول لك ايضا اخي gharbawi على هذه المعلومة المفيدة

سأحاول التعديل في الملف وموافاتكم بالمستجدات

بارك الله فيكم

أدوات الموضوع
مشاهدة صفحة طباعة الموضوع أرسل هذا الموضوع إلى صديق