السلام عليكم
هذا الموضوع سيتحدث عن اساسيات الامان في انظمة مواقع الانترنت خصوصا التي تستعمل انظمة مكتوبه بلغه php وهي خطوات مهمه يجب ان تطبق من قبل مطور الانظمه بهذه اللغه لضمان مستوى حمايه جيد لنظامه
نتابع
7- اضف كلمة LIMIT 1 الى اخر جمل SQL
هذه الطريقه تساعد على حصر النتائج في حالة اختراق الموقع وعند محاوله عمل استرجاع معلومات من قبل المخترق عن طريق جمل sql فان النتائج تكون اقل مما يؤدي الى حصر الضرر.
كود PHP:
SELECT * FROM useraccount WHERE Login='$login' AND Password='$encrypted' LIMIT 1
8- استخدم خيار maxlength في نماذج html
استخدم هذا الامر مع الحقول في نماذج html حتى يتم حصر المستخدم في عدد الرموز المطلوبه
<
input type="text" name="login" size="8" maxlength="8">
9- قم بحذف الرموز الزائده في حقول البيانات
اذا كانت البيانات المدخله اطول من المطلوب فيجب عدم الاعتماد على الامر السابق او على المستخدم في استخدام العدد المطلوب قم باستخدام هذا الامر substr() ليتم حصرها وحذف الرموز الزائده
كود PHP:
$login = @substr($login, 0, 8);
10- تفقد الموجه
تاكد دائما من التاكد من موجه امر الدخول باستخدام HTML_REFERER حتى تمنع محاولات الدخول من موقع غير موقعك، هذا الامر غير قوي ويمكن تجاوزه لكنه مفيد لمواجهة ال spam والخترقين المبتداين.
11- استخدم $_POST وليس $_REQUEST
اذا كان نموذج html الخاص بك يستخدم امر POST لارسال معلومات الدخول لنص الدخول login script يجب التاكد ان نص الدخول يستخدم الامر $_POST وليس $_REQUEST حيث ان الاخير يسمح بتمرير المعلومات عن طريق GET في نهاية سلسلة url .
12- بشكل عام حدد كل مستخدم حسب دوره
يفضل دائما تصميم النظام بعدة طبقات و صلاحيات مع هذه الطبقات، بحيث تستطيع توزيع الصلاحيات الى مجموعات متنوعه، ولا تحصر نفسك في مجموعة قويه ومجموعة ضعيفه فقط.
13- بعد ثالث محاولة فاشله للدخول افصل الحساب و\او افصل العنوان المصدر ip
انتهى
طبعا هذه الخطوات ليست المرجع الوحيد، كل مصمم يمكنه ان يبتكر ويستخدم طريق حمايه حسب نظامه ورغبته بعض الطرق تكون بسيطه وبعضها معقده المهم هو ان تكون دائما على اعلى مستوى من الامان لحمايه موقعك وبياناتك.
مع التحية
اساسيات الامان في ادارة الأنظمة على الانترنت (الجزء الثاني)!!!!
العرض العادي
