ركن لغات البرمجه
:: لغات البرمجه php و asp و Ajax و Java و غيرها

الحماية من ثغرات sql injection وبدون ازالة اي شيء

السلام عليكم ورحمة الله وبركاته كنت من فترة اود طرح طريقة جديدة وما اعتقد ان استخدمها احد من قبل وهي طريقة احترافية تسمح لك بحماية

موضوع مغلق
رقم المشاركة # 1  
أضيفت بتاريخ 01 - 09 - 2010 عند الساعة 23:53
saif dadoo
:: عضو نشيط ::
saif dadoo غير متواجد حاليآ بالمنتدى
بيانات موقعي
اسم الموقع: قريبا.....
اصدار المنتدى: صفحتي
تاريخ الإنضمام: 03 - 03 - 2010
رقم العضوية : 78943
الإقامة: سوري مقيم بالسعودية
العمر: 18
المشاركات: 937
قوة السمعة : 72
افتراضي

الحماية من ثغرات sql injection وبدون ازالة اي شيء


السلام عليكم ورحمة الله وبركاته
كنت من فترة اود طرح طريقة جديدة وما اعتقد ان استخدمها احد من قبل وهي طريقة احترافية تسمح لك بحماية نفسك من ثغرات sql injection بالراحة وبدون التخلص من الرموز او اي شيء
لو فكرنا قليلا ما هي الطريقة التي استطيع فعل هذا بها؟؟؟؟!!!!!!!
بعضكم سيحسب في اول الموضوع ان لا وجود للطريقة والا لماذا اخترعت php خمسة دوال للحماية
الطريقة بسيطة وهي ان تدخل اي شيء الى القاعدة ولكن بطريقة مختلفة؟؟؟!!!!!!الحماية من ثغرات sql injection وبدون ازالة اي شيءالحماية من ثغرات sql injection وبدون ازالة اي شيء
اكيد الموضوع لسة غامض ليش الحرامي يدخل البيت ومغطي وجهه؟؟؟
اكيد عشان ما حد يتعرف عليه
نحنا منقلده>>>منسرق بيت
الطريقة انو انكر الاكواد الداخلة للقاعدة ولما تطلع اشيل زي التنكر عبر
التشفير
والفكرة بسيطة طبعا احنا لن نستخدم تشفير md5 لانه ما ينفك
حنستخدم
base64
الدالة هذه للتشفير تدخلها الكلام الي بتشفره
رمز PHP:
function dadooe($sec){  
$sec base64_encode($sec);


return 
$sec;

وهذه لفك الشفرة وتدخلها الكلام الي بتفك تشفيره
رمز PHP:
function dadood($sec){  
$sec base64_decode($sec);
return 
$sec;

اظن الدوال واضحين والشرح اوضح بس تحط الدالة والكلام الي بتشفره او بتفك تشفيره وهو بيرجعلك القيمة

ارجو الاستفادة من الموضوع وعدم استخدامه في اي ضرر على المسلمين

ملاحظة:هذا الموضوع اول مرة يطرح فارجو ممن يريد نقله ذكر اسمي
بهاء الدين لؤي دعدوع

العضوية مستعارة

الاسم الحقيقي : بهاء الدين لؤي دعدوع
أضيفت بتاريخ 02 - 09 - 2010 عند الساعة : 00:06
رقم المشاركة # 2
:: عضو نشيط ::
صورة 'T4mer' الرمزية
تاريخ الإنضمام: 04 - 04 - 2008
رقم العضوية : 55960
الإقامة: فلسطين - غزة
المشاركات: 894
قوة السمعة : 239
افتراضي


طريقة حلوة وذكية جداً ،

لكن عيب واحد .
بطيئة بعض الشيء ،
يعني عمليات اضافية تشفير وفك تشفير


لم يعد يمكن أن أبقى هنا ،،

فهنا يبكي على بعضي بعضي

  • T4mer غير متواجد حاليآ بالمنتدى
أضيفت بتاريخ 02 - 09 - 2010 عند الساعة : 00:07
رقم المشاركة # 3
:: عضو فعال ::
تاريخ الإنضمام: 16 - 07 - 2009
رقم العضوية : 68032
المشاركات: 181
قوة السمعة : 146
افتراضي

و عليكم السلام و رحمة الله و بركاته
اما بعد

فكرتك غير عملية بالمرة و لا تنفع لكل الاحوال - و احدى هذه الحالات مثلا تسجيل الدخول في سكريبت ما بشكل افتراضي يكون هكذا:

رمز PHP:
mysql_query("select * from users where UserName = '$UserName' and Password ='$Password'"); 
و لنفرض اسم المستخدم و كلمة مرورره هي admin
و بعد تمريرها على دالة التشفير راح يطلع لنا الكود التالي :
رمز Code:
 YWRtaW4=
الان لو مررنا الناتج للاستعلام لن يتعرف على العضوية :
رمز PHP:
mysql_query("select * from users where UserName = 'YWRtaW4=' and Password ='YWRtaW4='"); 
و لو اعدنا فك الكون يعني ارجعناه مثل ما كان قبل الاستعلام ما استفدنا شيئ لانه ببساطة يمكن تمرير اكواد خبيثة قبل التشفير و يرجع مفعولها بعد الفك

عالم الحماية أكبر مما تعتقد اخي الفاضل ليس بتلك البساطة التي تعتقدها

لله الحمد و المنة : رزقت بمولودي الأول - قاسمي بهاء الدين

المكتبة العربية لتطبيقات الأجاكس

http://ajaxar.com
  • LABIBA غير متواجد حاليآ بالمنتدى
أضيفت بتاريخ 02 - 09 - 2010 عند الساعة : 00:13
رقم المشاركة # 4
:: عضو نشيط ::
صورة 'T4mer' الرمزية
تاريخ الإنضمام: 04 - 04 - 2008
رقم العضوية : 55960
الإقامة: فلسطين - غزة
المشاركات: 894
قوة السمعة : 239
افتراضي

و عليكم السلام و رحمة الله و بركاته
اما بعد

فكرتك غير عملية بالمرة و لا تنفع لكل الاحوال - و احدى هذه الحالات مثلا تسجيل الدخول في سكريبت ما بشكل افتراضي يكون هكذا:

رمز PHP:
mysql_query("select * from users where UserName = '$UserName' and Password ='$Password'"); 
و لنفرض اسم المستخدم و كلمة مرورره هي admin
و بعد تمريرها على دالة التشفير راح يطلع لنا الكود التالي :
رمز Code:
 YWRtaW4=
الان لو مررنا الناتج للاستعلام لن يتعرف على العضوية :
رمز PHP:
mysql_query("select * from users where UserName = 'YWRtaW4=' and Password ='YWRtaW4='"); 
و لو اعدنا فك الكون يعني ارجعناه مثل ما كان قبل الاستعلام ما استفدنا شيئ لانه ببساطة يمكن تمرير اكواد خبيثة قبل التشفير و يرجع مفعولها بعد الفك

عالم الحماية أكبر مما تعتقد اخي الفاضل ليس بتلك البساطة التي تعتقدها

ممكن تعيد التفكير !
الفكرة ما راح أنفذ أي استعلام من القاعدة إلا بعد التشفير

اقتباس
يرجع مفعولها بعد الفك
بعد الفك راح تكون طباعة بس ! ما راح تدخل القاعدة
ولو حتدخل القاعدة حشفرها تاني


لم يعد يمكن أن أبقى هنا ،،

فهنا يبكي على بعضي بعضي

  • T4mer غير متواجد حاليآ بالمنتدى
أضيفت بتاريخ 02 - 09 - 2010 عند الساعة : 00:17
رقم المشاركة # 5
:: عضو نشيط ::
تاريخ الإنضمام: 03 - 03 - 2010
رقم العضوية : 78943
الإقامة: سوري مقيم بالسعودية
العمر: 18
المشاركات: 937
قوة السمعة : 72
افتراضي

ممكن تعيد التفكير !
الفكرة ما راح أنفذ أي استعلام من القاعدة إلا بعد التشفير


بعد الفك راح تكون طباعة بس ! ما راح تدخل القاعدة
ولو حتدخل القاعدة حشفرها تاني
تمام 100%
وطبعا هناك بعض الاكواد التانية مثل <script> و html هذه كلها تسويها بدالة htmlspecialchars
مشكور اخوي عالمرور

العضوية مستعارة

الاسم الحقيقي : بهاء الدين لؤي دعدوع
  • saif dadoo غير متواجد حاليآ بالمنتدى
أضيفت بتاريخ 02 - 09 - 2010 عند الساعة : 00:20
رقم المشاركة # 6
Web Developer
صورة 'Cliprz' الرمزية
تاريخ الإنضمام: 03 - 05 - 2007
رقم العضوية : 36394
الإقامة: Kuwait
المشاركات: 2,995
قوة السمعة : 4695
أرسل رسالة بواسطة MSN إلى Cliprz
افتراضي

السلام عليكم ورحمه الله وبركاته


اولاً الدالة بطيئة وتستخدم لاغراض اخرى ومعرفة كتشفير فقرة او نص واعادته
ثانياً الدالة تأخذ المزيد من الداتا اقرأ المانيول about 33% more space than the original data.
ثالثاً تزيد من عملية الاستعلام والاستهلاق ولو كان النص 1000 حرف سيصبح عشر مليون حرف
رابعاً عن الاستخراج ستقوم بعملية استهلاكية عالية


اخي الكريم

الحماية لو بدالة كان الناس ماخترقت

اقوى البرمجيات نكتشف يومياً بها ثغرات

فماذا ستفعل دالة base64

اقتباس
كنت من فترة اود طرح طريقة جديدة وما اعتقد ان استخدمها احد من قبل وهي طريقة احترافية تسمح لك بحماية نفسك من ثغرات sql injection بالراحة وبدون التخلص من الرموز او اي شيء
وبنسبة لسبب انه لم يستعملها احد تجد الرد اعلاه

والدالة ستخرج المعاملات نفس ماهي يعني لو استخدمت xss يتخرج وتعمل لانه الدالة ضعيفة

ولو كانت دالة ذات اهمية لو جدت عمالقة المبرمجين كـ vivo و wp و vb و bb و خلافها يستخدمونها

صدقني لو وضعت موضوعك في موقع مبرمجين اجانب

سيغلقونه ويرسلونه للمهملات

اقرأ المانيول وستفهم قصدي

http://www.php.net/manual/en/function.base64-encode.php

Web Developer and Researcher in web applications science. Twitter - Facebook
  • Cliprz غير متواجد حاليآ بالمنتدى
أضيفت بتاريخ 02 - 09 - 2010 عند الساعة : 00:21
رقم المشاركة # 7
:: مشرف ::
ركن لغات البرمجه
صورة 'the_traveller' الرمزية
تاريخ الإنضمام: 26 - 01 - 2008
رقم العضوية : 51149
الإقامة: Egypt/Ksa
العمر: 35
المشاركات: 7,087
قوة السمعة : 1370
أرسل رسالة بواسطة MSN إلى the_traveller أرسل رسالة بواسطة Yahoo إلى the_traveller أرسل رسالة بواسطة Skype™ إلى the_traveller
افتراضي

ممكن تعيد التفكير !
الفكرة ما راح أنفذ أي استعلام من القاعدة إلا بعد التشفير


بعد الفك راح تكون طباعة بس ! ما راح تدخل القاعدة
ولو حتدخل القاعدة حشفرها تاني
سلام عليكم
اسمحلي الفكرة من الاساس ليست صحيحه

طيب بعيدا عن المناقشه
اليك مثال اخر

ولنفرض ان البرنامج به محرك بحث واكيد يوجد استعلام
ولنفرض مثلا انك تبحث عن كلمه أحمد
لكت بدلا من كتباتها أحمد كتبتها احمد

بدون الهمزه على الالف
اكيد في التشفير سيكون الناتج مغاير تماما لعملية البحث بغض النظر عن تعليمة sql المستخدمه في البحث

وبعيدا عن مخاطر sql
لنفرض ان الكود كان كود تحويل مثلا

يبقى ايه الفايده اني اشفره وادخله القاعدةوبعد خروجه افك التشفير ويشتغل الكود؟؟

عند طرح فكره لابد من التمعن فيها من جميع الجوانب قبل طرحها

بسم الله الرحمن الرحيم
ربنا لا تؤاخذنا إن نسينا أو أخطأنا
ربنا ولا تحمل علينا إصرا كما حملته على الذين من قبلنا
ربنا ولا تحملنا مالا طاقة لنا به
واعف عنا واغفر لنا وارحمنا
أنت مولانا فانصرنا على القوم الكافرين
صدق الله العظيم
سبحانك اللهم وبحمدك سبحان الله العظيم



دخول متقطع


  • the_traveller غير متواجد حاليآ بالمنتدى
أضيفت بتاريخ 02 - 09 - 2010 عند الساعة : 00:26
رقم المشاركة # 8
:: عضو نشيط ::
تاريخ الإنضمام: 03 - 03 - 2010
رقم العضوية : 78943
الإقامة: سوري مقيم بالسعودية
العمر: 18
المشاركات: 937
قوة السمعة : 72
افتراضي

السلام عليكم ورحمه الله وبركاته


اولاً الدالة بطيئة وتستخدم لاغراض اخرى ومعرفة كتشفير فقرة او نص واعادته
ثانياً الدالة تأخذ المزيد من الداتا اقرأ المانيول about 33% more space than the original data.
ثالثاً تزيد من عملية الاستعلام والاستهلاق ولو كان النص 1000 حرف سيصبح عشر مليون حرف
رابعاً عن الاستخراج ستقوم بعملية استهلاكية عالية


اخي الكريم

الحماية لو بدالة كان الناس ماخترقت

اقوى البرمجيات نكتشف يومياً بها ثغرات

فماذا ستفعل دالة base64



وبنسبة لسبب انه لم يستعملها احد تجد الرد اعلاه

والدالة ستخرج المعاملات نفس ماهي يعني لو استخدمت xss يتخرج وتعمل لانه الدالة ضعيفة

ولو كانت دالة ذات اهمية لو جدت عمالقة المبرمجين كـ vivo و wp و vb و bb و خلافها يستخدمونها

صدقني لو وضعت موضوعك في موقع مبرمجين اجانب

سيغلقونه ويرسلونه للمهملات

اقرأ المانيول وستفهم قصدي

http://www.php.net/manual/en/function.base64-encode.php
اولا اخواني اسمحولي انا لم اقول انها تحمي من كل شي لو كانت تحمي من كل شيء ما كان في شركات حماية وسيرفرات وغيره وبرامج بالالفات
بس انا قلت انيها تحمي جزء وتغطي عليه بس ما قلت انها كل شيء

العضوية مستعارة

الاسم الحقيقي : بهاء الدين لؤي دعدوع
  • saif dadoo غير متواجد حاليآ بالمنتدى
أضيفت بتاريخ 02 - 09 - 2010 عند الساعة : 00:27
رقم المشاركة # 9
:: عضو نشيط ::
تاريخ الإنضمام: 03 - 03 - 2010
رقم العضوية : 78943
الإقامة: سوري مقيم بالسعودية
العمر: 18
المشاركات: 937
قوة السمعة : 72
افتراضي

سلام عليكم
اسمحلي الفكرة من الاساس ليست صحيحه

طيب بعيدا عن المناقشه
اليك مثال اخر

ولنفرض ان البرنامج به محرك بحث واكيد يوجد استعلام
ولنفرض مثلا انك تبحث عن كلمه أحمد
لكت بدلا من كتباتها أحمد كتبتها احمد

بدون الهمزه على الالف
اكيد في التشفير سيكون الناتج مغاير تماما لعملية البحث بغض النظر عن تعليمة sql المستخدمه في البحث

وبعيدا عن مخاطر sql
لنفرض ان الكود كان كود تحويل مثلا

يبقى ايه الفايده اني اشفره وادخله القاعدةوبعد خروجه افك التشفير ويشتغل الكود؟؟

عند طرح فكره لابد من التمعن فيها من جميع الجوانب قبل طرحها
لو جربت تشفير اكثر من كلمة متشابهة او متقاربة ستجد التشفير متشابه 90%
واذا اردت جرب

العضوية مستعارة

الاسم الحقيقي : بهاء الدين لؤي دعدوع
  • saif dadoo غير متواجد حاليآ بالمنتدى
أضيفت بتاريخ 02 - 09 - 2010 عند الساعة : 00:29
رقم المشاركة # 10
:: عضو نشيط ::
صورة 'T4mer' الرمزية
تاريخ الإنضمام: 04 - 04 - 2008
رقم العضوية : 55960
الإقامة: فلسطين - غزة
المشاركات: 894
قوة السمعة : 239
افتراضي


يبقى ايه الفايده اني اشفره وادخله القاعدةوبعد خروجه افك التشفير ويشتغل الكود؟؟

عند طرح فكره لابد من التمعن فيها من جميع الجوانب قبل طرحها

أنا أتفق معك
وأتفق أيضاً مع الأخ كليبرز كما قلت أنها بطيئة في مشاركتي الأولى .

ولكن أردت التوضيح أنها آمنة من ناحية الحقن ولكن غير مجدية مثل المثال الذي ذكرت .


لم يعد يمكن أن أبقى هنا ،،

فهنا يبكي على بعضي بعضي

  • T4mer غير متواجد حاليآ بالمنتدى
أضيفت بتاريخ 02 - 09 - 2010 عند الساعة : 00:32
رقم المشاركة # 11
Web Developer
صورة 'Cliprz' الرمزية
تاريخ الإنضمام: 03 - 05 - 2007
رقم العضوية : 36394
الإقامة: Kuwait
المشاركات: 2,995
قوة السمعة : 4695
أرسل رسالة بواسطة MSN إلى Cliprz
افتراضي

اولا اخواني اسمحولي انا لم اقول انها تحمي من كل شي لو كانت تحمي من كل شيء ما كان في شركات حماية وسيرفرات وغيره وبرامج بالالفات
بس انا قلت انيها تحمي جزء وتغطي عليه بس ما قلت انها كل شيء


حتى من ناحية الحقن اذا كان خارجي

يستطيع الحقن

رمز PHP:
base64_decode("union ... -2"); 
ويستطيع استغلال اي ثغرة عن طريق رجوعها


ولايوجد حل في العالم يقول ان base64 تستطيع الغاء الحقن

الدالة التي لها رجوع يستطيع المخترق تطبيقها

ولو كان ذات اتجاه واحد لن يستفيد المبرمج سوى حماية فاشلة


الحماية هي تكون عن طريق perl او استخدام preg او الاستبدالات المهمة للكلمات التي قد تكون مظرة

وتبديلها بشيء او تنظيفها

Web Developer and Researcher in web applications science. Twitter - Facebook
  • Cliprz غير متواجد حاليآ بالمنتدى
أضيفت بتاريخ 02 - 09 - 2010 عند الساعة : 00:32
رقم المشاركة # 12
:: عضو فعال ::
تاريخ الإنضمام: 16 - 07 - 2009
رقم العضوية : 68032
المشاركات: 181
قوة السمعة : 146
افتراضي

ممكن تعيد التفكير !
الفكرة ما راح أنفذ أي استعلام من القاعدة إلا بعد التشفير


بعد الفك راح تكون طباعة بس ! ما راح تدخل القاعدة
ولو حتدخل القاعدة حشفرها تاني


حبيب قلبي : كيف راح تسجل دخولك كمثالي السابق بدو ن اجراء استعلام ؟؟؟؟؟؟؟؟؟؟

لله الحمد و المنة : رزقت بمولودي الأول - قاسمي بهاء الدين

المكتبة العربية لتطبيقات الأجاكس

http://ajaxar.com
  • LABIBA غير متواجد حاليآ بالمنتدى
أضيفت بتاريخ 02 - 09 - 2010 عند الساعة : 00:34
رقم المشاركة # 13
:: عضو نشيط ::
صورة 'Hudaislam' الرمزية
تاريخ الإنضمام: 21 - 10 - 2007
رقم العضوية : 42725
الإقامة: ^×0o --ركن لغات البرمجة --^×0o
المشاركات: 4,698
قوة السمعة : 975
افتراضي

السلام عليكم ورحمة الله وبركاته
لو تسمحلي بمداخلة بسيطة

انا ما بدي احبطك، بالعكس انا بدي اشجعك لانك بتفكر، ولست فقط بتقرا دروس وبتطبق بدون تفكير
وهذا شي حلو كثير

لكن نيجي نناقش الفكرة من نظرة علمية

اذا بدنا نيجي نتكلم عن الوقت، فهي بتبطئ الشغل وبشكل ملحوظ ان جاز التعبير وهذي نقطة عليها وليس لها
بالنسبة للمساحة، فهي بتزيد من استهلاك المساحات وهذي ايضا نقطة عليها وليست لها

بالاضافة لحالات الفشل اللي ممكن توقع فيها مثل الحالة اللي ذكرها الاخ Labiba
والاخ the traveller

وهذه كلها نقاط ضعف فيها

لذلك الفكرة غير عملية وما بتنجح
تأمين المدخلات مش شي صعب، لدرجة انه نشفر كل شي بناخذه منه عشان نأمن حالنا من شره


في النهاية، الله يعطيك العافية
انت اجتهدت وفكرت
وهذي طريق النجاح
وبارك الله فيك

اخوك مهند

  • Hudaislam غير متواجد حاليآ بالمنتدى
أضيفت بتاريخ 02 - 09 - 2010 عند الساعة : 00:41
رقم المشاركة # 14
:: عضو نشيط ::
صورة 'T4mer' الرمزية
تاريخ الإنضمام: 04 - 04 - 2008
رقم العضوية : 55960
الإقامة: فلسطين - غزة
المشاركات: 894
قوة السمعة : 239
افتراضي

حبيب قلبي : كيف راح تسجل دخولك كمثالي السابق بدو ن اجراء استعلام ؟؟؟؟؟؟؟؟؟؟

بالبداية يا أخوة أنا محايد برأيي
أنا مع انه الدالة تسبب بطيء وهادا كلامي بأول مشاركة
مع ذلك هي آمنة من ناحية الحقن تماماً

بالنسبة للأخ LABIBA
عملية تسجيل عضو جديد
راح آخد بياناته وأشفرهم وأدخلهم بالقاعدة .
ولما يسجل دخول
راح آخد البيانات الجديدة وأشفرهم وأعمل الاستعلام .


لم يعد يمكن أن أبقى هنا ،،

فهنا يبكي على بعضي بعضي

  • T4mer غير متواجد حاليآ بالمنتدى
أضيفت بتاريخ 02 - 09 - 2010 عند الساعة : 00:45
رقم المشاركة # 15
:: عضو نشيط ::
تاريخ الإنضمام: 03 - 03 - 2010
رقم العضوية : 78943
الإقامة: سوري مقيم بالسعودية
العمر: 18
المشاركات: 937
قوة السمعة : 72
افتراضي

حبيب قلبي : كيف راح تسجل دخولك كمثالي السابق بدو ن اجراء استعلام ؟؟؟؟؟؟؟؟؟؟
كلامك غير صحيح ابدا يمكن تكون الدالة بطيئة وهذا شيء صحيح ولكن انت تتكلم كلام غير صحيح
وانا اختبرتها بنفسي ونجحت فاذا كانت الدالة بطيئة مو يعني انها كلها غلط واذا فيها بعض الاخطاء فهذه ايضا مو مشكلة بس الصح يصير خطأ انا اوافق الاخ كليبرز في انها تاخذ مساحة عالية ومجهود عالي ولكن هذه لسة كانت مجرد بداية الطريق

العضوية مستعارة

الاسم الحقيقي : بهاء الدين لؤي دعدوع
  • saif dadoo غير متواجد حاليآ بالمنتدى
موضوع مغلق

العلامات المرجعية

أدوات الموضوع
طرق العرض

غلق/فتح (الكل) ضوابط المشاركة
لا يمكنك اضافة مواضيع جديدة
لا يمكنك اضافة مشاركات
لا يمكنك اضافة مرفقات
لا يمكنك تعديل مشاركاتك

رمز [IMG] : متاحة
رمز HTML : معطّلة
المراجع : معطّلة
Refbacks are متاحة



الساعة معتمدة بتوقيت جرينتش +3 . الساعة الآن : 09:41.
المعهد غير مسؤول عن أي اتفاق تجاري أو تعاوني بين الأعضاء
فعلى كل شخص تحمل مسئولية نفسه إتجاه مايقوم به من بيع وشراء وإتفاق وأعطاء معلومات موقعه
التعليقات المنشورة لا تعبر عن رأي معهد ترايدنت ولا نتحمل أي مسؤولية قانونية حيال ذلك (ويتحمل كاتبها مسؤولية النشر)


Powered by vBulletin® Version 3.8.7 .Copyright ©2000 - 2014, Jelsoft Enterprises Ltd
SEO by vBSEO 3.6.0 ©2011, Crawlability, Inc.
Google

SEO by vBSEO 3.6.0 ©2011, Crawlability, Inc.