الملاحظات
ركن لغات البرمجه
:: لغات البرمجه php و asp و Ajax و Java و غيرها

[درس] ثغرات حقن Sql والحماية منها في Php

ثغرات حقن SQL والحماية منها في PHP السلام عليكم ورحمة الله .. قبل البدء في الموضوع ثغرات حقن SQL أصبحت خطيرة لأبعد الحدود ولا يستهان

Like Tree1معجبون
  • 1 أضيفت بواسطة Yee7.com

اضافة رد
رقم المشاركة # 1  
أضيفت بتاريخ 11 - 12 - 2007 عند الساعة 22:43
Yee7.com
:: عضو فعال ::
Yee7.com غير متواجد حاليآ بالمنتدى
تاريخ الإنضمام: 09 - 11 - 2006
رقم العضوية : 28013
المشاركات: 145
قوة السمعة : 131
افتراضي

[درس] ثغرات حقن Sql والحماية منها في Php


ثغرات حقن SQL والحماية منها في PHP

السلام عليكم ورحمة الله ..
قبل البدء في الموضوع ثغرات حقن SQL أصبحت خطيرة لأبعد الحدود ولا يستهان بها فأبسطها تكون بالوصول إلى البيانات وتعديلها أو حتى حذفها وأخطرها لا يمكن حصرها لتنوعها وقوتها
وضعت هذا الموضوع بعد أن رأيت بأن الكثير من السكريبتات العربية آخرها vbzoom هي ضحية لثغرات حقن SQL وهذا السبب الذي جعل الكثيرين يبتعدوا عن استخدامها والإتجاه نحو السكريبتات الأجنبية والمعربة.
أبسط طريقة للتسبب في خطأ SQL هو إدخال علامة التنصيص الكوما في الإنجليزية في اماكن إدخال البيانات سواء فورم ارسال أو في رابط ، في حال ظهر خطأ شبيه لما في الصورة التالية هنا تكون الخطورة حيث يمكن إستغلال الخطأ بوضع جمل إستعلامية SQL في منطقة الخطأ .. الخ ، وتتعدد الخطورة حسب ما ذكرت بالبداية.


[درس] ثغرات حقن Sql والحماية منها في Php

وهنا مثال لعملية حقن SQL في صفحة PHP
رمز PHP:
 
   <?php
  
    
   $_POST
['username'] = 'shockshadow';
 
$_POST['password'] = "' OR ''='";
 
   
    
   
// البحث في قاعدة البيانات عن عضوية مشابهة لمدخلات المستخدم
 
$query "SELECT * FROM users WHERE user='".$_POST['username']."' AND password='".$_POST['password']."'";
 
mysql_query($query);
 
 
// لم نقم بفحص المتغير $_POST['password'] الذي أدخله المستخدم, قد يحتوي على أي أوامر يريدها المستخدم! وفي مثالنا هذا قام المستخدم بتخطي كلمة المرور:
 
?>


هذا يعني بأن الاستعلام الذي تم ارسالة أصبح كالتالي
رمز Code:
SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''
لا تعليق!!


الحماية من ثغرات حقن SQL في PHP ، البعض بل الكثيرين وانا كنت أحدهم يستخدموا عمليات البحث في البيانات المدخلة وفحصها من احتوائها على رموز معينة يتم تحديدها مسبقاً وتنفيذ الأوامر في حال لم يوجد أي من هذه الرموز هذه الطريقة بدائية وقد تفقدنا الكثير من مميزات برامجنا... الأن سأشرح طريقة رسمية ومضمونة وبسيطة جداً تحقق نسبة أمان عالية في تفادي عمليات الحقن وأيضاً يمكننا إدخال أي نوع من الرموز بدون أية مشاكل!! وهي باستخدام إحدى دوال PHP المخصصة لذلك وهي الدالة
رمز PHP:
Mysql_real_escape_string() 
حيث يجب تمرير كل مدخلات المستخدم من خلال هذه الدالة حيث تعمل على فلترة وتحويل الرموز الخطيرة بحيث لا يكون لها أي تأثير في الاستعلام ويتم التعامل معها كنص عادي

مثالنا السابق مع عمل فلترة عن طريق الدالة للمدخلات:
رمز PHP:
 
   <?php
  
   
   $_POST
['username'] = 'shockshadow';
 
$_POST['password'] = "' OR ''='";
 
   
    
   
// البحث في قاعدة البيانات عن عضوية مشابهة لمدخلات المستخدم
 
$query "SELECT * FROM users WHERE user='"mysql_real_escape_string($_POST['username'])."' AND password='"mysql_real_escape_string($_POST['password'])."'";
 
mysql_query($query);
 
 
// لاحظ اننا قمنا بفلترة المتغيرات عن طريق الدالة وهنا يتم ابطال مفعول الحقن
 
?>


درسنا ينتهي هنا وسامحونا على الإطالة التي تعمدتها من أجل إستيعاب هذا النوع من الثغرات
للمزيد تفضل بزيارة الصفحة التالية
http://www.php.net/manual/en/function.mysql-real-escape-string.php

===========
جميع حقوق الشرح محفوظة للأمن الإلكتروني 2007


أخوكم ShockShadow

Tags
Secure against SQL injection attacks
الحماية من ثغرات حقن إس كيو إل SQL

العذاب معجب بهذا.
أضيفت بتاريخ 11 - 12 - 2007 عند الساعة : 22:47
رقم المشاركة # 2
:: عضو نشيط ::
صورة 'آحمد جرافيكس' الرمزية
تاريخ الإنضمام: 07 - 03 - 2007
رقم العضوية : 32949
الإقامة: الشـرقيهـ
المشاركات: 2,790
قوة السمعة : 1961
افتراضي

جزاك الله خير اخوي

اللهم آدخـلني الجـنــة مـــع الآبـــــرار ياأرحم الراحمــيــن


سأعود قريبـــا إن شاء الله
أضيفت بتاريخ 11 - 12 - 2007 عند الساعة : 22:53
رقم المشاركة # 3
:: عضو نشيط ::
صورة 'TheStudent' الرمزية
تاريخ الإنضمام: 11 - 08 - 2006
رقم العضوية : 25821
الإقامة: Hail
المشاركات: 16,105
قوة السمعة : 14041
افتراضي

لاهنت يالغالي ...


ترايدنت .. أيامُ لا تنسى !
أضيفت بتاريخ 11 - 12 - 2007 عند الساعة : 22:58
رقم المشاركة # 4
:: عضو نشيط ::
تاريخ الإنضمام: 23 - 09 - 2006
رقم العضوية : 26745
الإقامة: Egypt
المشاركات: 2,562
قوة السمعة : 3167
افتراضي

شكراً لك أخي ...
موضوع ذات صلة
الحمايه في php -و تأمين المدخلات -من أجل php أمنه - و أكثر تحكماً

اشهد ان لا اله الا الله و ان محمد رسول الله
أضيفت بتاريخ 12 - 12 - 2007 عند الساعة : 10:43
رقم المشاركة # 5
.:: عضو متألق ::.
صورة 'العذاب' الرمزية
تاريخ الإنضمام: 12 - 05 - 2005
رقم العضوية : 4275
الإقامة: البعد الرابع
المشاركات: 12,295
قوة السمعة : 7221
أرسل رسالة بواسطة ICQ إلى العذاب أرسل رسالة بواسطة AIM إلى العذاب أرسل رسالة بواسطة MSN إلى العذاب أرسل رسالة بواسطة Yahoo إلى العذاب أرسل رسالة بواسطة Skype™ إلى العذاب
أضيفت بتاريخ 13 - 12 - 2007 عند الساعة : 21:27
رقم المشاركة # 6
:: عضو جديد ::
تاريخ الإنضمام: 15 - 05 - 2005
رقم العضوية : 4354
المشاركات: 14
قوة السمعة : 50
افتراضي

الصراحة درس وايد مهم ومفيد

يزاااك الله خيير ياخوي

وما تقصر...

أضيفت بتاريخ 14 - 12 - 2007 عند الساعة : 12:22
رقم المشاركة # 7
::عضو مؤسس ::
صورة 'دايم الحمد' الرمزية
تاريخ الإنضمام: 06 - 09 - 2005
رقم العضوية : 8142
الإقامة: جبـال الحجــاز
المشاركات: 10,934
قوة السمعة : 12790
افتراضي

موضوع مهم جدا

ما قصرت يالغالي

" شكرا ترايدنت "

بسبب التفرغ للحياة المستقبلية تم ايقاف البث -الاثنين 12 جمادى الآخرة 1429هـ -

شكرا تركي , شكرا هلال , شكرا ابو وليد , شكرا ابو عايض , شكرا أحمد , شكرا للجميع

سبحانك اللهم وبحمدك ، أشهد أن لا إله إلا أنت أستغفرك وأتوب إليك
اضافة رد

العلامات المرجعية

أدوات الموضوع
طرق العرض

غلق/فتح (الكل) ضوابط المشاركة
لا يمكنك اضافة مواضيع جديدة
لا يمكنك اضافة مشاركات
لا يمكنك اضافة مرفقات
لا يمكنك تعديل مشاركاتك

رمز [IMG] : متاحة
رمز HTML : معطّلة
المراجع : معطّلة
Refbacks are متاحة



الساعة معتمدة بتوقيت جرينتش +3 . الساعة الآن : 13:43.
المعهد غير مسؤول عن أي اتفاق تجاري أو تعاوني بين الأعضاء
فعلى كل شخص تحمل مسئولية نفسه إتجاه مايقوم به من بيع وشراء وإتفاق وأعطاء معلومات موقعه
التعليقات المنشورة لا تعبر عن رأي معهد ترايدنت ولا نتحمل أي مسؤولية قانونية حيال ذلك (ويتحمل كاتبها مسؤولية النشر)


Powered by vBulletin® Version 3.8.7 .Copyright ©2000 - 2014, Jelsoft Enterprises Ltd
SEO by vBSEO 3.6.0 ©2011, Crawlability, Inc.
Google

SEO by vBSEO 3.6.0 ©2011, Crawlability, Inc.