الى خبراء اومحترفين او ذوي الخبرة في برمجيات ال php والى الهاكرز الذين يخافون الله!!!

elkaser · 29-05-2005, 08:02 PM

السلام عليكم
تحياتي لكم جميعا
اعتقد ان هذا الموضوع الذي سأقوم بطرحه من افضل المواضيع التي سوف طرحت لافادة أمنية لمبرمجين ال php المبتدأين الي مثلي

---------- يرجا عدم تجاهل هذا الموضوع والرد لكي نستفيد بارك الله فيكم ---------------

نعلم ان لغة ال php تحتوي على العديد من الثغرات واحيانا الثغرات تكون قاتلة
ماذا لو قمنا بمحاولة شرح هذه الشغرات والاهم من هذا ان نقوم بشرح طريقة اغلاقها لكي لا نقع بها

يعني انا مبرمج php مبتدأ وقابلت على انهاء موقع كامل برمجته لوحدة ولاكن سألت بعض الاخوة ذوي الخبرة في ال php عن الثغرات وطريقة اغلاقها فحقيقة اخافني حيث اني اشك بان في الموقع يوجد ثغرات بمقدار لا يقل عن 20 ثغرة !!!!!!!!!!!!!!! وهذا أسؤ شي قمت بحصده بعد شغل برمجة دامة شهرين................

وقال لي يجب وقع الدوال addslashes على كل فورم ادخال معلومات الى قاعدة البيانات وضع stripshashes عن عرض المعلومات - ولم يوضح لي الكثير بسبب انشغاله للاسف

وايضا قال لي شئ اخر حول الدوال $_GET و $_POST حيث قال لي شي عن intval ولم افهم عليه شيء بسبب انشغاله ايضا

أهل من الممكن يا اخواني الكرام افادتي وافادة كافة المبرمجبين المبتدأين في مجال برمجة ال php بطرح طرق لاغلاق الثغرات في برمجيات ال php وطرح كيف يمكن كشفها والتعامل معها لبرمجة مواقع أمنة - لاني اعتقد انه ليس المهم ان تستطيع البرمجة بقدر تستطيع حمايتها...

يعني انا ببرمج في موقع انتفاضة فلسطين - تصورو اترك ثغرة قاتلة ويدخل واحد يهودي كافر ويخترق الموقع بكل سهولة ويضع علم اسرائيل على الموقع!!!!!!!!!!!!!!!!!!!!!

رجاء من الجميع الاهتمام بهذا الموضوع لافادة الجميع واذا ممكن من حضرة المشرة تثبيت الموضوع هذا ليستفيد من محبين برمجيات ال php

ننتظر الرد منكم يا اعزائنا المبرمجين
وبارك الله فيكم
وشكرا لتعاونكم واهتممامكم

Pal Coder · 30-05-2005, 12:26 AM

السلام عليكم

اسف اخي الكاسر لانه اليوم كنت مشغول كثيرا وما زلت ولم استطيع اعطاءك المعلومات بشكل كامل

لي عودة ان شاء الله غدا وسوف ارد عليك ..

Pal Coder · 30-05-2005, 12:05 PM

السلام عليكم

اولا : عن استقبال قيم المتغيرات استخدم المصفوفات $_GET و $_POST

فمثلا لو كنت تجلب قيمة المتغير من المتصفح فاطلبها

كود PHP:

  $id = $_GET['id'];

واذا تستقبلها من نموذج بطريقة post فاستقبلها هكذا

كود PHP:

   
$name = $_POST['name'];

$email = $_POST['email'];

ثانيا : استخدم الدوال لتنقية النصوص وخصوصا قبل ادخالها الى قاعدة البيانات

مثلا
intval ترجع لك قيمة عددية
trim تحذف الفراغ من اول النص واخره وهذا يساعد على الحفاظ على حجم اكبر فيقواعد البيانات
addslashes تقوم بوضع / السلاش في النصوص قبل "
هذا عن الاضافة في قواعد البيانات وعند طباعة النص الذي استخدمت له addslashes
استخدم stripshashes لازالة السلاش عند طباعة النصوص من اجل الشكل والمظهر

htmlspecialchars او stripslashes لازالة اكواد php و html من النصوص

وهذا مثال على كل واحدة

كود PHP:

  $id = intval($_GET['id']);

$name = trim($_POST['name']);

$name = addslashes($_POST['name']);

 
echo stripshashes ($row['name']);

 
$page = htmlspecialchars($_GET['page']);

$page = htmlspecialchars($_POST['page']);

 
$page = stripslashes($_GET['page']);

$page = stripslashes($_POST['page']);

ملاحظة mysql_escape_string تعمل نفس عمل addslashes وايضا هناك دالة تعمل نفس العمل mysql_real_escape_string

ملاحظة 2 كل تنقية النصوص تكون قبل ادخالها الى قاعدة البيانات حتى تضمن امان اكثر

ثالثا : عند التأكد من ملف مرفق تأكد منه من داخل ملف php وليس عن طريق كود

Javascript لانه ممكن يرسل من نموذج خارجي وبعدها اكلنا هوا

رابعا : في لوحة تحكم المشرف لا تستخدم الكوكز انما استخدم السيشن

وبعد تطبيق النقاط الاربعة السابقة تضمن حماية اكبر للموقع ككل والله يستر والباقي على الهكر وشطارته وحماية السيرفر

هذا ما في جعبتي الى الان اذا تذكرت شيئا جديدا سوف اعود واقوله لك

Dr.Nabhan · 30-05-2005, 05:51 PM

الثغرة مجرد خطأ برمجي

او سهوة برمجية من المبرمج

ولم يعجبني كلامك ان الـ php مليئة بالثغرات

لانه php5 تتربع على عرش لغات البرمجة

قول انه المبرمج لا يتمتع بحس الاحتراف

لان البرنامج الذي به ثغرات يكون المبرمج فتح عليه طاقة دبور كما يقال

وان كثر الثغرات حتى في البرامج الكبيرة ذا دل فانه يدل على ان الphp لغة برمجية قوية

وكثرة تعاريجها وقوة طرقها

بالمناسبة :
اذا كان البرنامح الذي برمجته خاص بموقعك
فلم الخوف

اتبع جميع طرق اخي pal coder

وايضا انتبه للكوكيز والسيشن

وانتبه لاغلاق الكوكيز

ولتشفير الباسووردات والمعلومات الشخصية

و (اعقلها وتوكل)

وشكرا

elkaser · 30-05-2005, 10:21 PM

السلام عليكم
سمعت من بعض الاخوة بان النسخة الحديثة من البي اش بي تقوم اتوماتيكيا بعمل addslashes و strepshashes ولاكنه لم يكن على يقين

كيف ممكن نتأكد ؟؟؟؟؟؟

محلاحظة هذه الطرق الحماية ضافت على شغل كمان شهر ههههههههههههههههههههههههه

تحياتي لكم

almuslet · 31-05-2005, 12:04 AM

اضفة ال slashes بشكل تلقائي موجودة في الphp 4 و5 عن طريق ال magic quotes
حيث يتم اضافة الslashes لكل علامات التنصيص في النصوص المرسلة عن طريق الفورمز (post) وال get ومدخلات فواعد البيانات ..
يتم تفعيلها من ملف php.ini .
حقيقة لا انصح باستخدامها خصوصا عند كتبة سكريبتات يتم استخدامها من قبل الجميع وذلك للاختلاف في اعدادات الphp في السيرفرات .
وانصح جميع المبرمجين ان يتخذوا الحيطة اذا كانت الmagic qouts مفعلة حتى يتجنبوا اضافة slashes مزدوجة

elkaser · 31-05-2005, 02:51 AM

السلام عليكم
شكرا جزيلا للجميع

اخي almuslet يعني انت تنصح باستخدام الدوال addslashes و stripslashes وعدم تفعيل ال magic qouts ??

وسؤال اخر لمذا تفضلون استخدام السيشن على الكوكز ؟؟؟؟

وايضا سؤال اخر يجب عمل ال addslashes للفورمات المعروضة للزوار ؟؟؟ اي المصرح للزوار باستخدامها - ام كافة الفورمات حتى لوحة التحكم ؟؟؟؟؟؟

وسؤال اخير عندما نستخدم ال addslashes ونقوم بادخالها الى قاعدة البيانات اهل يقوم السيرفر باضافة "سلاش" الى الحقول في قاعدة البيانات قبل النص ؟؟؟ ام تكون شوفية - او غير ظاهرة ؟؟؟؟

تحياتي لكم
وشكرا

Pal Coder · 31-05-2005, 04:04 PM

اخي الكاسر

شهر شهر ولو حتى سنة ولا بتحب تشوف موقعك مهاكر

السيشن اكثر امانا من الكوكز لانه من خلال الكوكز احتمال ان يتم اختراق لوحة التحكم وخصوصا ان وضعت PassWord بدون تشفير

addslashes استخدمها في كل الموقع حتى لوحة التحكم ان كان غيرك يستخدم اللوحة ..

و addslashes تقوم باضافة / الى قاعدة البيانات في النصوص ولذلك قلت لك استخدم stripslashes عند اخراج النص من القاعدة

echo stripshashes ($row['name']);

تحياتي لك

elkaser · 01-06-2005, 05:44 AM

السلام عليكم
بالنسبة للباسورد امشفر

اما انا قمت بعمل addslashes ولاكن لم يضاف سلاش في قاعدة ةالبيانات ولم شظهر اي خلل في الموقع

!!!!

شو المشكلة ليش ما بضيف السلاش ؟

مُجَاهِد · 01-06-2005, 10:06 AM

موضوع جميل والى الامام اخواني الكرام .

وخالص المودة

،،

Pal Coder · 01-06-2005, 11:54 AM

اهلا اخي مجاهد

اخي الكاسر اليك هذا الكود

كود PHP:

  $name = addslashes($_GET['name']);

$sql = mysql_query("insert into table (name) values('$name')");

ارجوا ان تكون فهمت

Danger_Zone · 01-06-2005, 06:13 PM

اقتباس:

المشاركة الأصلية كتبت بواسطة Pal Coder

كود PHP:

$name = addslashes($_GET['name']); $sql = mysql_query("insert into table (name) values('$name')");

اذا هل هيه كافية لمنع ال SQl Injection

elkaser · 02-06-2005, 06:05 AM

السلام عليكم
اخي Pal Coder عملت بنفس الكود وعدنما ذهبت الى حقول البيانات لم اجد اي سلاش اضافي للنص

هذا الكود الذي قمت بعمله

كود PHP:

   
$message=addslashes($_POST['message']);

 
mysql_query("INSERT INTO name (message)VALUES('$message') ");

طبعا لم يعمل

سؤال اخر بعد الاجابة على السؤال الاول الله يطول في عمرك
شو الفرق بين الاكواد التالية

كود PHP:

  $message=$row['message'];

و

كود PHP:

  $message=$row["message"];

و

كود PHP:

  $message=$row[message];

أهل هي اداه للحماية ؟؟ ام ما هو الفرق بينهم مع العلم انهم يقومو بنفس العمل

وشكرا

Pal Coder · 03-06-2005, 01:49 PM

اخي Danger_Zone ليس تماما

اخي الكاسر ممكن نعتبرهم يقوموا بنفس الوظيفة

Danger_Zone · 03-06-2005, 03:03 PM

هل يعني ذلك انه لا توجد طريقة آمنه ؟؟؟؟؟ او ان هناك المزيد

طيب لو فرضنا اني عملت فاليديشن للحقول للتأكد من صحة القيمة المدخلة واضفت السلاش .. هل مدخلات الفورم عندها تكون آمنه من الحقن ... طيب ان كان هذا لا يكفي فما هو الحل ... الأمان هو الأهم قبل الكل

Pal Coder · 04-06-2005, 12:31 PM

اخي Danger_Zone

الامان لا يتم بطريقة واحدة ..

فمثلا لو انك قمت بتحصين موقعك يجب ايضا ان يكون السيرفر ذات امان عالي وهكذا ..

انت لو طبقت الخطوات السابقة التي كتبتها في ردي في الاعلى فسوف تملك امان بنسبة جيدة جدا

واليك هذه الروابط كتبها الاخ هاني جمال من منتدى زاجل

أخطاء المبرمجين الأمنية فى PHP - الحلقة الاولى

أخطاء المبرمجين الأمنية فى PHP - الحلقة الثانية

أخطاء المبرمجين الأمنية فى PHP - الحلقة الثالثة

أخطاء المبرمجين الأمنية فى PHP - الحلقة الرابعة

أخطاء المبرمجين الأمنية فى PHP - الحلقة الخامسة

أخطاء المبرمجين الأمنية فى PHP - الحلقة السادسة

ستفيدك كثيرا

Danger_Zone · 04-06-2005, 11:10 PM

شكرا بارك الله فيك

لكن يا أخي انا أتكلم عن البرنامج وليس السيرفر لاني غالبا وباعتبار أن لغة ال php خاليه من الثغرات في الحقيقة لم أجد موضوعا يتحدث بكل ثقة عن أساليب الأمان ففي النهاية يقول هي تؤمن برنامجك الي حد ما مما يشكل مصدر قللق دائما لكن ما اعمله غالبه في فترة تجربة اي سكريبت ان افحصها عمليا بقدر عملي

فعلا موضوع يحتاج إلى نقاش لوضع النقاط على الحروف

Pal Coder · 08-06-2005, 03:22 PM

اخي الكريم

اولا اعتذر عن التأخر في الرد

ثانيا :

لا يوجد لغة تؤمن لك موقعك 100% لان طرق الاختراق تتجدد وتتطور كل يوم ولغات البرمجة تتطور ولكن ليس كل يوم ينزل اصدار جديد

وانت ايضا لن تقوم بتحديث اكوادك البرمجية كل يوم اذا تتطور اللغات كل يوم

لذلك نحن نطبق تلك الطرق من اجل اكبر قدر من الحماية ولا نقول الحماية 100%

لذلك انصحك بقراءة الكثير من الدروس حول حماية الموقع وتابع كل جديد في حماية الموقع

Danger_Zone · 09-06-2005, 01:12 PM

أحسنت بارك الله فيك كلامك منطقي والله يستر

Pal Coder · 11-06-2005, 12:18 AM

تذكرت شيئ

هذه الدالة كنت ناسيها

لقد برمجتها من اجل البرامج التي اعمل بها

يمكنك الاستفادة منها وتطويرها

كود PHP:

  function FixText ($text,$type)

{

        if ($type == 0)

        {

                $text = trim(mysql_escape_string(htmlspecialchars($text)));

        }

        elseif ($type == 1)

        {

                $text = trim(stripslashes($text));

        }

        elseif ($type == 'get')

        {

                $text = trim(htmlspecialchars($text));

        }

        else

        {

                $text = trim(mysql_escape_string(nl2br(htmlspecialchars($text))));

        }

 
  return ($text);

}

ولا اي دالة لم تفهم وظيفتها

php.net/functionname

او اسئل عنها

Danger_Zone · 11-06-2005, 02:43 PM

شكرا أخي لم أفهم إحتمالات النوع ماذا تقصد ب 0 و 1

Pal Coder · 12-06-2005, 11:50 AM

انا اسف للتاخر في الرد ولكن قطعت الكهرباء امس وانا اكتب الرد ..

المهم

انا وضعتها لكي اعرف اي الدوال استخدمها لانه كل موضع وله الدوال الخاصة به

فمثلا :

كود PHP:

   
$page = FixText($_GET['page'],'get');

 
$sql = mysql_query("select * from pages where page='$page'");

هذه لتنقية النص القادم من الرابط

ورقم 0 هذه لادخال النصوص في قاعدة البيانات

و else من اجل ادخال نصوص المقالات

اما 1 فالصراحة نسيت لانه البرنامج لي 5 شهور عامله وهو كبير

المهم تذكرت شيئ ممكن نضيف شيئ جديد فيها

كود PHP:

   
function FixText ($text,$type) 

{ 

        if ($type == 0) 

        { 

                $text = trim(mysql_escape_string(htmlspecialchars($text))); 

        } 

        elseif ($type == 1) 

        { 

                $text = trim(stripslashes($text)); 

        } 

        elseif ($type == 'get') 

        { 

                $text = trim(htmlspecialchars($text)); 

        } 

        elseif ($type == 'print') 

        { 

                $text = trim(stripslashes($text)); 

        } 

        else 

        { 

                $text = trim(mysql_escape_string(nl2br(htmlspecialchars($text)))); 

        } 

 
  return ($text); 

}

الاضافة

كود PHP:

          elseif ($type == 'print') 

        { 

                $text = trim(stripslashes($text)); 

        }

وذلك من اجل طباعة النصوص المستخرجة من قاعدة البيانات التي قمنا بمعالجتها عن طريق هذه الدالة

يعني الغاء / من النصوص عند طباعتها

مع التحية ..

Pal Coder · 12-06-2005, 12:08 PM

تعديل جديد

كود PHP:

  function FixText ($text,$type) 

{ 

        if ($type == 0) 

        { 

                $text = trim(addslashes(htmlspecialchars($text))); 

        } 

        elseif ($type == 1) 

        { 

                $text = trim(stripslashes($text)); 

        } 

        elseif ($type == 'get') 

        { 

                $text = trim(htmlspecialchars($text)); 

        } 

        elseif ($type == 'print') 

        { 

                $text = trim(stripslashes($text)); 

        } 

        else 

        { 

                $text = trim(addslashes(nl2br(htmlspecialchars($text)))); 

        } 

 
  return ($text); 

}

استبدلت mysql_escape_string بـــ addslashes

Danger_Zone · 12-06-2005, 01:51 PM

تشكر عزيزي فعلا داله قيمة سأحفظها عندي كمرجع

alsohba · 08-11-2007, 12:34 PM

رفع للأهمية .. أرجو إفادتي أنا كذلك و إن كانت هناك طرق أخرى فأرجو إفادتنا بها ..

أدوات الموضوع
مشاهدة صفحة طباعة الموضوع أرسل هذا الموضوع إلى صديق