linnou
11-01-2013, بتوقيت غرينيتش 09:46 AM
http://www.dzbatna.com/images/icons/iconrote.gif [ php ] ط£ظƒط«ط± 4 ط£ط®ط·ط§ط، ظٹظ‚ط¹ ظپظٹظ‡ط§ ط§ظ„ظ…ط¨ط±ظ…ط¬ (http://www.dzbatna.com/t640099/)
السلام عليكم
قائمة بأكثر الأخطاء التي يقعون فيها المبرمجين
1- عدم حماية المدخلات :-
عدم حماية المدخلات تسبب ثغرات خطيرة ويجب معالجتها قبل عرضها .. مثال :
رمز PHP:
<code style="white-space:nowrap"> <code> echo $_GET['username'];
</code> </code>
اذا استعملت الكود code السابق فإنه يمكّن المستخدم من وضع كود code لسحب الكوكيز مثلاً
طريقة الحماية :
استخدام دوال تعطيل الأكواد .. مثال :
رمز PHP:
<code style="white-space:nowrap"> <code> echo htmlspecialchars($_GET['username'], ENT_QUOTES);
</code> </code>
2- عدم حماية أوامر SQL :-
لا شك بأن أغلب البرمجيات الكبيرة تتضمن أكواد SQL وعند عدم حمايتها من الثغرات فيمكن للمستخدم أن يعدل على الأمر ما يشاء .. مثال :
رمز PHP:
<code style="white-space:nowrap"> <code> mysql_query("SELECT * FROM table WHERE id = ".$_GET['id']);
</code> </code>
اذا استعملت الكود code السابق فإنه يمكّن المستخدم من التعديل على الأمر كمثال
طريقة الحماية :
استخدام دوال تعطيل أوامر SQL .. مثال :
رمز PHP:
<code style="white-space:nowrap"> <code> $sql = "UPDATE users SET
name=".mysql_real_escape_string($name)."
WHERE id=".mysql_real_escape_string($id);
mysql_query($sql);
</code> </code>
3- عدم استخدام الكائنات في البرمجة (OOP) :-
الكثير من البرمجيات حاليا لا تستخدم الكائنات ويعتبر هذا الخطأ من الأخطاء الكثيرة !
حيث أنه من خلال الكائنات يصبح الكود code أسهل وأسرع وأفضل وأكثر تنظيماً
فضلاً عن أنه يمكن تطويره بسهولة في المستقبل في الإصدارات الجديدة
4- تضعيف (تدبيل) علامات الإقتباس :-
هل رأيت أحد الصفحات تحوي بين الكلمات على \’ أو \” , غالبا ترى عندما يكون magic_quotes مقفل في السيرفر SERVER
في هذه الحالة فإنه يتم تنفيذ الدالة addslashes على مصفوفات REQUERT قبل عرضها
مثال للنص الأصلي :
رمز Code:
It’s a string
عندما يكون magic quotes مفعل :
رمز Code:
It\’s a string It\\’s a string
الكود code المعروض على الصفحة :
رمز Code:
It\’s a string
مترجم بتصرف
وعند النقل ذكر الحقوق (كتابة : العذاب (http://www.dzbatna.com/u4275/))
ألعاب الأندرويد مجانا و حصريا (http://www.apotox.info/forum)
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/482113_236967293114455_1193518507_n.png (http://www.dzbatna.com)
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى (http://www.dzbatna.com)©
السلام عليكم
قائمة بأكثر الأخطاء التي يقعون فيها المبرمجين
1- عدم حماية المدخلات :-
عدم حماية المدخلات تسبب ثغرات خطيرة ويجب معالجتها قبل عرضها .. مثال :
رمز PHP:
<code style="white-space:nowrap"> <code> echo $_GET['username'];
</code> </code>
اذا استعملت الكود code السابق فإنه يمكّن المستخدم من وضع كود code لسحب الكوكيز مثلاً
طريقة الحماية :
استخدام دوال تعطيل الأكواد .. مثال :
رمز PHP:
<code style="white-space:nowrap"> <code> echo htmlspecialchars($_GET['username'], ENT_QUOTES);
</code> </code>
2- عدم حماية أوامر SQL :-
لا شك بأن أغلب البرمجيات الكبيرة تتضمن أكواد SQL وعند عدم حمايتها من الثغرات فيمكن للمستخدم أن يعدل على الأمر ما يشاء .. مثال :
رمز PHP:
<code style="white-space:nowrap"> <code> mysql_query("SELECT * FROM table WHERE id = ".$_GET['id']);
</code> </code>
اذا استعملت الكود code السابق فإنه يمكّن المستخدم من التعديل على الأمر كمثال
طريقة الحماية :
استخدام دوال تعطيل أوامر SQL .. مثال :
رمز PHP:
<code style="white-space:nowrap"> <code> $sql = "UPDATE users SET
name=".mysql_real_escape_string($name)."
WHERE id=".mysql_real_escape_string($id);
mysql_query($sql);
</code> </code>
3- عدم استخدام الكائنات في البرمجة (OOP) :-
الكثير من البرمجيات حاليا لا تستخدم الكائنات ويعتبر هذا الخطأ من الأخطاء الكثيرة !
حيث أنه من خلال الكائنات يصبح الكود code أسهل وأسرع وأفضل وأكثر تنظيماً
فضلاً عن أنه يمكن تطويره بسهولة في المستقبل في الإصدارات الجديدة
4- تضعيف (تدبيل) علامات الإقتباس :-
هل رأيت أحد الصفحات تحوي بين الكلمات على \’ أو \” , غالبا ترى عندما يكون magic_quotes مقفل في السيرفر SERVER
في هذه الحالة فإنه يتم تنفيذ الدالة addslashes على مصفوفات REQUERT قبل عرضها
مثال للنص الأصلي :
رمز Code:
It’s a string
عندما يكون magic quotes مفعل :
رمز Code:
It\’s a string It\\’s a string
الكود code المعروض على الصفحة :
رمز Code:
It\’s a string
مترجم بتصرف
وعند النقل ذكر الحقوق (كتابة : العذاب (http://www.dzbatna.com/u4275/))
ألعاب الأندرويد مجانا و حصريا (http://www.apotox.info/forum)
https://fbcdn-sphotos-d-a.akamaihd.net/hphotos-ak-ash4/482113_236967293114455_1193518507_n.png (http://www.dzbatna.com)
©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى (http://www.dzbatna.com)©