السلام عليكم
اخي الكريم، هذه بعض النصائح التي طرأت على بالي لتأمين السكربت:
1. تأكد من ان تلغي فعالية جميع علامات التنصيص من الparameters قبل ان تستخدمهم، هذا الكود يساعدك
2. تأكد من الـ register_globals ملغاة، وحاول الابتعاد عن استخدم extract للمدخلات
3. لا تقم بعرض المدخلات مباشرة داخل الصفحة لأنك قد تعرض السكربت لهجمات Cross-Site Scripting
مثال
ان كان لديك السطر التالي في برنامجك
فيمكن لمخترق ان يضع شفرة جافاسكربت لتعرض في المتصفح
مثلا
url.php?user=<script>alert('hi')</script>
لذا تأكد ان تقوم باستخدام strip_tags أو htmlspecialchars
قد يخيل لك ان هذا النوع من الهجمات غير خطير، لكنه قد يتيح للمخترق ان يجلب بيانات الdcidcicookies المخزنة لدى المستخدمين الآخرين أو قد يسمح له بإدخال محتويات غير مرغوب بها في الموقع
4. طبعا حاول استخدام تشفير md5 قبل تخزين كلمات المرور في قاعدة البيانات
5. لاتقوم باستدراج ملف آخر عن طريق احد المدخلات
مثال
بإمكان المخترق ان يفتح
url.php?page=.htpasswd
تأكد انك قمت بوضع قيم صحيحة في open_basedir في php.ini
طبعا مهما كان السكربت مكتوب بطريقة آمنة، فهو ليس آمن مالم يكن السيرفر نفسه آمن وجميع السكربتات في الموقع آمنة
تحياتي
ايمن نجار