السلام عليكم ورحمة الله وبركاته...
في الحقيقة انني ترردت كثيرا في طرح هذا الموضوع لكوني على عجل وفي شغل ... ونسأل الله ان يجعله في طاعته وأن يرزقنا وأن يهبنا الإخلاص له في جميع الأعمال والأقوال ...
لكني لمست الحاجة إليه فارتئيت أن أجعلها حلقات نقاش بدلا من تسميتها "دروس" لأني اقل من أن اعطي دروسا ... ثم ايضا لأني لا اريد الإلتزام بتقديم سلسلة قد لا تسمح ضروفي بإتمامها ...
لكن كما يقال " مالا يدرك كله لا يترك جله "...
فبسم الله وبه أستعين ولا حول ولا قوة إلا بالله العلي العظيم , اللهم إنا نسألك السداد في القول والعمل ونعتصم بك من الزلل والخلل.
مقدمة :-
من المؤلم جدا والمؤسف ان تكتشف بعد اكمالك لبرمجة شفرة برمجية لغرض معين بهدف عرضها او توفير او تفعيلها على الشبكة الإلكترونية ان المقطوعة التي قمت ببرمجتها تشكل خطرا يهدد ليس فقط موقعك بل والخادم المستضيف لموقعك بكافة محتوياته ...!.
لك ان تتخيل انك كنت - لا قدر الله - سببا في دمار الخادم المستضيف او كنت بوابة لإختراق كافة المواقع المستضافة عليه بما قد تحتويه من معلومات "خاصة" او "مهمة" ... بما فيها موقعك.!
إنه موقف تخيله جعلني - عندما قررت نشر موقعي على الشبكة - التفكير مرات وكرات وتأخير قرار نشره ...إلى أجل غير مسمى ...!نعم ...غير مسمى ...! حتى اقوم بقراءة كل ما استطيع قراءته حول ثغرات المواقع ... والأخطاء البرمجية القاتله ... وأمن الشيفرات "ان صحت ترجمتي للscripts " .
فهل ترى الأمر يستحق ؟!.
حلقات النقاش :-(1)
أمور متعلقة بقواعد البيانات.
برأيكم ما هي الخطوة الأولى والمهمة في حماية قاعدة البيانات ؟!
من خلال قراءتي استخلصت أن أهم الأشياء التي قد يغفل عنها المرء هي مسالة "صلاحيات المستخدم لقاعدة البيانات " ...
فهل سالت نفسك ذات مره ما هي الصلاحيات التي سيحتاجها أعضاء موقعك- المسجلون فيه - ...وما هي الصلاحيات الموهوبة للحساب الذي ستجعل بإمكانهم استعماله في الإتصال بقاعدة البيانات ؟!
لعلك اعتدت اختيار كافة الصلاحيات " All Previlages " ؟!... لا شك أنها أسهل فهي لا تحتاك لأدنى تفكير او توقف ... ولا تحتاج حتى لمزيد نقرات من فأرتك الأنيقة!.
لكن لك أن تتخيل ان احدهم قد قرر أن يعبث - لأي سبب - بموقعك - وبأعصابك أيضا - فنفذ أمرا كالتالي :-
ما رأيك ؟!... هل سيفلح في ان يسبب لك بعض الصداع ؟!...كود:DROP DATABASE `your-site-date-base`;
ولك أن تتخيل ما سوى ذلك .
ما هي الوسيلة المثلى والآمنة في الإتصال بقاعدة البيانات ؟!.
مما استفدته أيضا من خلال قراءتي أن ثمة أمور لا بد من مراعاتها حين الإتصال بقواعد البيانات اهمها على عجل :-
1- ما يتعلق بالملف المحتوي على معلومات الإتصال :-
::. الإمتداد :-
ربما راقت لك طريقة البعض بإعطائه هذا الإمتداد لملف التحكم في الإتصال "*.inc" قد تشعر في بادئ الأمر أن ذلك نوعا من الإحتراف - كما كنت أظن للأسف - .
الآن ارفع ايا ملف شئت وليكن ملف ال"config" الذي به معلومات الإتصال بقاعدة البيانات خاصتك .وضعه في أي مجلد شئت ... ثم اكتب في المستعرض ما يلي :-
كود:http://www.your-site.*/path/config.inc
يا للهول ... أرأيت !!!. هذا ما يمكن أن يخلفه جعله إمتداد الملف كهذا.
لكن لا عليك ... الآن وبأسرع وقت غير هذا الإمتداد السيء - على الأقل في عرفي - واستبدله بإمتداد المفات الأكثر مودة في نفسك هل عرفته ... بالتأكيد إنه "*.php".
الآن جرب نفس الخطوة...وادع لي ..
::. الموقع " الطريق ""Path".
ينصح الخبراء بحفظ هذا الملف خارج المجلد الجذري للموقع ... أي بمعنى خارج مجلد "public_html" .. ذلك لان حفظه في هذا الموقع سيجعل عرضه للقراصة أمر غير ممكن ... إذ ان ما يتم حفظه خارج هذا المجلد الجذري للموقع فلن يتمكن احد من استعراضه ...
جرب بنفسك ..
================
اعتذر عن الإطالة ... وأعتذر عن عدم التفصيل أكثر ... لكوني اريد من الإخوة الكرام ان يقرؤا ... ويستفيدا ويفيدونا ...
================
اعتذر عن اي خطأ - فهو غير مقصود بلاشك - واطلب من الإخوة الخبراء المشاركة بأي تصحيح لأي شيء مما ورد ...
هذا والله أعلم وأحكم .
ولا تنسونا من صالح الدعاء.(هو فيء هذه الحلقات).
والسلام عليكم ورحمة الله وبركاته
أبو عبد الرحمن