[ php ] ط£ظƒط«ط± 4 ط£ط®ط·ط§ط، ظٹظ‚ط¹ ظپظٹظ‡ط§ ط§ظ„ظ…ط¨ط±ظ…ط¬


السلام عليكم

قائمة بأكثر الأخطاء التي يقعون فيها المبرمجين

1- عدم حماية المدخلات :-
عدم حماية المدخلات تسبب ثغرات خطيرة ويجب معالجتها قبل عرضها .. مثال :
رمز PHP:
<code style="white-space:nowrap"> <code> echo $_GET&#91;'username'&#93;;
</code> </code>

اذا استعملت الكود code السابق فإنه يمكّن المستخدم من وضع كود code لسحب الكوكيز مثلاً
طريقة الحماية :
استخدام دوال تعطيل الأكواد .. مثال :

رمز PHP:
<code style="white-space:nowrap"> <code> echo htmlspecialchars($_GET&#91;'username'&#93;, ENT_QUOTES);
</code> </code>

2- عدم حماية أوامر SQL :-
لا شك بأن أغلب البرمجيات الكبيرة تتضمن أكواد SQL وعند عدم حمايتها من الثغرات فيمكن للمستخدم أن يعدل على الأمر ما يشاء .. مثال :
رمز PHP:
<code style="white-space:nowrap"> <code> mysql_query("SELECT * FROM table WHERE id = ".$_GET&#91;'id'&#93;
</code> </code>

اذا استعملت الكود code السابق فإنه يمكّن المستخدم من التعديل على الأمر كمثال
طريقة الحماية :
استخدام دوال تعطيل أوامر SQL .. مثال :
رمز PHP:
<code style="white-space:nowrap"> <code> $sql = "UPDATE users SET
name=".mysql_real_escape_string($name)."
WHERE id=".mysql_real_escape_string($id);
mysql_query($sql);
</code> </code>

3- عدم استخدام الكائنات في البرمجة (OOP) :-
الكثير من البرمجيات حاليا لا تستخدم الكائنات ويعتبر هذا الخطأ من الأخطاء الكثيرة !
حيث أنه من خلال الكائنات يصبح الكود code أسهل وأسرع وأفضل وأكثر تنظيماً
فضلاً عن أنه يمكن تطويره بسهولة في المستقبل في الإصدارات الجديدة

4- تضعيف (تدبيل) علامات الإقتباس :-
هل رأيت أحد الصفحات تحوي بين الكلمات على \’ أو \” , غالبا ترى عندما يكون magic_quotes مقفل في السيرفر SERVER
في هذه الحالة فإنه يتم تنفيذ الدالة addslashes على مصفوفات REQUERT قبل عرضها



مثال للنص الأصلي :
رمز Code:
It’s a string

عندما يكون magic quotes مفعل :
رمز Code:
It\’s a string It\\’s a string

الكود code المعروض على الصفحة :
رمز Code:
It\’s a string

مترجم بتصرف
وعند النقل ذكر الحقوق (كتابة : العذاب)









©المشاركات المنشورة تعبر عن وجهة نظر صاحبها فقط، ولا تُعبّر بأي شكل من الأشكال عن وجهة نظر إدارة المنتدى©