[Ayman Najjar]

السلام عليكم

اخي الكريم، هذه بعض النصائح التي طرأت على بالي لتأمين السكربت:
1. تأكد من ان تلغي فعالية جميع علامات التنصيص من الparameters قبل ان تستخدمهم، هذا الكود يساعدك

إقتباس: <?php if (get_magic_quotes_gpc()) { function stripslashes_array($array) { return is_array($array) ? array_map('stripslashes_array', $array) : stripslashes($array); } $_COOKIE = stripslashes_array($_COOKIE); $_FILES = stripslashes_array($_FILES); $_GET = stripslashes_array($_GET); $_POST = stripslashes_array($_POST); $_REQUEST = stripslashes_array($_REQUEST); } ?>

2. تأكد من الـ register_globals ملغاة، وحاول الابتعاد عن استخدم extract للمدخلات
3. لا تقم بعرض المدخلات مباشرة داخل الصفحة لأنك قد تعرض السكربت لهجمات Cross-Site Scripting
مثال
ان كان لديك السطر التالي في برنامجك

إقتباس: echo "Hi ". $_GET['user'];

فيمكن لمخترق ان يضع شفرة جافاسكربت لتعرض في المتصفح
مثلا
url.php?user=<script>alert('hi')</script>

لذا تأكد ان تقوم باستخدام strip_tags أو htmlspecialchars
قد يخيل لك ان هذا النوع من الهجمات غير خطير، لكنه قد يتيح للمخترق ان يجلب بيانات الdcidcicookies المخزنة لدى المستخدمين الآخرين أو قد يسمح له بإدخال محتويات غير مرغوب بها في الموقع

4. طبعا حاول استخدام تشفير md5 قبل تخزين كلمات المرور في قاعدة البيانات
5. لاتقوم باستدراج ملف آخر عن طريق احد المدخلات
مثال

إقتباس: include ($_GET['page'])

بإمكان المخترق ان يفتح
url.php?page=.htpasswd
تأكد انك قمت بوضع قيم صحيحة في open_basedir في php.ini

طبعا مهما كان السكربت مكتوب بطريقة آمنة، فهو ليس آمن مالم يكن السيرفر نفسه آمن وجميع السكربتات في الموقع آمنة

تحياتي
ايمن نجار