(12-08-17, 01:48 AM)سلامات كتب : (12-08-17, 01:45 AM)الكاتب كتب : في مشكلتك يجب أن يكون هناك ثلاث اطراف
الطرف الاول برنامجك
الطرف الثاني ( الوسيط ) على الموقع
الطرف الثالث ( القاعدة )
لا يمكن الاستفادة من الطرف الاول والثالث إذا لم تفهم الطرف الثاني والمقصد بالطرف الثاني اي لغة برمجة تفي بالغرض وجميع لغات الويب لديها مصفوفات خارقه أو السوبر قلوبز ( بالعربي ) من ضمن المصفوفات التي تحتاجها $_GET حتى تستطيع استقبال البيانات الشغله طويله جداً اقنع المدير بالعزوف عن الفكرة ):
كيف يتم ذلك اخي الكريم ؟
لا بد من فهم على الاقل
شاهد الرابط هنا
https://www.w3schools.com/php/php_superglobals.asp
انزل إلى الاسفل ولاحظ
PHP كود :
<html>
<body>
<?php
echo "Study " . $_GET['subject'] . " at " . $_GET['web'];
?>
</body>
</html>
احفظ الملف بصيقة PHP وتعامل مع المتغيرات من خلال superglobals
مع التعديل ليستقبل القيم
PHP كود :
<html>
<body>
<?php
if ($_GET['subject'] = "ALKTAB"){
echo "Study " . $_GET['subject'] . " at " . $_GET['web'];
}
?>
</body>
</html>
اطلب الرابط هكذا
http://127.0.0.1/K//00.PHP?subject=ALKTAB
لاحظ اشارة ? ما بعدها يعتبر متغير مسند له القيمة ALKTAB ولاحظ ماذا يطبع !!
يوجد خطورة كبيرة في مثل تلك العمليات يجب ضبط المتغيرات بشكل دقيق لتجتب ثغرات CRSF & SQL INJECTION & SQL BLIND & USER AGENT وإلا ذهب موقعكم وبياناتكم إدراج الرياح
فمثلاً للتأكد من وجود المتغيرات قبل اجراء اي عمليات
PHP كود :
if (!$_GET['subject'])
{
echo "error";
exit();
}
إذا تم التلاعب بالمتغير subject وحقنه هكذا '1' subject?ALKTAB ORDER BY
مباشرة سيخرج الملف ويتوقف بسبب عدم وجود اصل وإسناد صحيح للمتغير subject
لنتشعب اكثر لاحظ الرابط التالي :
http://vb4arb.com/vb/member.php?action=p...&uid=15861
الملف member.php هو المسؤول عن ملف الاعضاء ويعتبر مثل عمل الويب سيرفس ولاكن داخل الموقع لاحظ المتغير action المسند له القيمة profile ورقم العضو بالمتغير &uid هو 15861 قم بالتلاعب بهذا الرقم لتشاهد الاعضاء
فمثلاً نستطيع معرفة الاعضاء الذين قامو بالتسجيل بالمنتدى بتاريخ 30-10-15 استنادا على المتغير &uid
goast = 30-10-15
احمد البياتي = 30-10-15
NOSAA93 =30-10-15
j.an =30-10-15
Temose =30-10-15
tato2006 =30-10-15
ahmedallam =30-10-15
sub-zeroo =30-10-15
مصطفى قليوب =30-10-15
mina samir =30-10-15
nourmandour =30-10-15
mohamed abd elmenaam =30-10-15
krimi = 30-10-15
13 عضو قامو بالتسجيل في يوم 30-10-15
شاهد مدى خطورة التعامل مع ال Superglobals
يجب أن تكون على دراية تامة للتعامل مع الويب سيرفس من الناحية الامنية
مرجع