السلام عليكم
بداية بشكر الاخ سليمان والاخ خالد علي الرد لكن بوضح بعض الاشياء
بالنسبة للأخ خالد لا يوجد ثغرة xss في رابطك الذي أرسلته فاذا كانت فعلا ثغرة راح تظهر نافذة لك بيتم تنفيذ هذا الكود
كود HTML:
document.write ("This is remote text via xss.js located at ha.ckers.org " + document.cookie);
alert ("This is remote text via xss.js located at ha.ckers.org " + document.cookie);
طبعا بيتم الحماية من ثغرة xss عن طريق أحد الدوال التالية
كود PHP:
.
strip_tags();
htmlspecialchars();
شخصيا أفضل الدالة الثانية الأولي ممكن عمل لها filter
ومع هذا كله فهذه الثغرة ليست خطرة
بالنسبة للأخ سليمان
هناك فرق بين ثغرة يمكن اسغلالها وبين خطأ تم أدخالة وليس كل خطأ يكون ثغرة سأوضح أكثر
كود PHP:
select * from table limit -1,5
فعند تنفيذ هذا الاسعلام راح يظهر لك خطأ في أدخال البيانات -1 فهو غير مقبول
فاذا تم حماية المتغير بهذه الطريقة
كود PHP:
$page=intval($_get['page']);
بالفعل تم حمايته من تغرة sql
لكن لم يتم حمايته من الخطأ في أدخال البيانات
كود PHP:
intval(-1)=-1;
intval('sql injection')=0;
اتمني يكون الفكرة وصلت وعل كل حال هذه لم تكن ثغرة هذا خطأ نتج عن أدخال بيانات خاطئة ولو لحظنا اذا ادخلنا حروف بدل الرقم -1 لن يظهر الخطا
ومع هذا تم حل هذا الخطأ عن طريق هذا
كود PHP:
$page=(intval($_get['page'])<0)?0:intval($_get['page']);
بهذه الطريقة تم الغاء الأرقام السالبة التي ممكن تسبب ظهور هذا الخطا
ومع هذا كله ما في شيء كامل الكمال لله وحده وهناك دعم فني للسكربت مجاني وبعد الشراء في حالة أكتشاف اي خطأ مستقبلا
بالتوفيق للجميع