مـزاجي غـير

center][/center]
عزيزي الزائر / عزيزتي الزائرة يرجي التكرم بتسجبل الدخول اذا كنت عضو معنا
او التسجيل ان لم تكن عضو وترغب في الانضمام الي اسرة المنتدي
سنتشرف بتسجيلك
شكرا
ادارة المنتدي

اجمــــل منتــدى


    كيف يمكنني حماية موقعي من الأختراق

    شاطر
    avatar
    تركي العنزي

    عاجل كيف يمكنني حماية موقعي من الأختراق

    مُساهمة من طرف تركي العنزي في الأربعاء أغسطس 19, 2009 5:23 pm

    بسم الله الرحمن الرحيم
    السلام عليكم ورحمة الله وبركاته...


    احمل اليوم فكرة لحماية موقعك ... أنا مقتنع أن الفكرة ليست عملية بشكل كبير لكنها قد تغطي الى حد كبير ثغرة مهمة في أغلب المواقع وخصوصا تلك الإنشائية أو الإخبارية ...
    كما أود أن أوضح أن فكرتي هذه ليست مجدية بشكل كبير مع المواقع التفاعلية مثل المنتديات لكن يمكن تطويع المبدأ بطريقة جيدة لمستخدمي المنتديات ...
    فكرتي هذه نعرفها جميعا لكن يبدو أننا نتغافل عنها ... الفكرة لحماية قواعد البيانات ...
    لا يخفى عليكم جميعا أن بعض المواقع يتم تحديثها بشكل دوري ..كل يوم .. كل يومين ... كل أسبوع .. وهذه هي المواقع التي نتكلم عنها وهي التي يفيدها هذا الموضوع ...
    نبدا######
    أدخل لوحة تحكم موقعك ثم ادخل الى PhpMyAdmin بالطبع توجد عدة قواعد بيانات ... نحن نريد حماية احداها ولنضرب مثلا قاعدة بيانات النيوك (لكثرة اختراقها )
    الآن يوجد مستخدم تحت قاعدة بيانات النيوك .. ملاحظتي هي على الصلاحيات Privileges المعطاه لهذا المستخدم ... غالبا ماتكون كالتالي
    (Privileges: SELECT, INSERT, UPDATE, DELETE, CREATE, DROP, REFERENCES, INDEX, ALTER)
    وهذا خطأ فادح في حالة كان المحدث الوحيد للموقع صاحب الموقع ...في هذه الحالة أوصي بوجود مستخدمين اثنين على قاعدة البيانات هذه ... المستخدم الأول هذا اتركه موجودا لاستخدامك الشخصي ..
    وقم بإنشاء مستخدم جديد ولا تعطيه من الصلاحيات الا SELECT وهذا لاستخدام زوار الموقع
    الآن يجب ان يكون هناك ملفين config ويمكنك تسميتهما كالتالي
    config فيه بيانات المستخدم الذي ليس له من الصلاحيات الا SELECT
    config1 فيه بيانات المستخدم الذي لديه صلاحية ALL
    عندما تريد تحديث أو اضافة مواضيع ومحتويات للموقع قم بتغيير أسماء الملفات واجعل config هو الذي يحتوي المستخدم ALL ثم بعد أن تنتهي من تحديثك أعد أسماء الملفات كما كانت ..
    ...وبهذا مهما حاول المخترق اختراق قواعد البيانات من خلال ثغرات في الموقع فإن اسم المستخدم الذي يستطيع الوصول اليه ليس له أصلا صلاحية التعديل في قواعد البيانات ... ليس له الا صلاحية القراءة ...
    ببساطة هذه هي الفكرة ... أعلم ان البعض لاتناسبهم لكن لمن لايستطيعون سد الثغرات ومواقعهم مهددة هذه الوسيلة ناجعة بإذن الله .
    وختاما .. للاخوان الذين يحتاجون أن يستخدمو خاصية الإضافة لهذا المستخدم فإنه بامكانهم اعطاء المستخدم بعض الصلاحيات وليس كلها حيث أن الصلاحيات DELETE, CREATE, DROP, REFERENCES, INDEX, ALTER غير ضرورية للمستخدم العادي وقد تكون ضارة ..
    أتمنى أن تكون الفكرة واضحة ...
    وتقبلوا تحياتي
    Smile
    avatar
    تومه الوحيده

    عاجل رد: كيف يمكنني حماية موقعي من الأختراق

    مُساهمة من طرف تومه الوحيده في الأربعاء أغسطس 19, 2009 5:37 pm

    يسلموووو على الموضوع مررررره راائع الله يعطيك العافيه يا اخ تركي


    queen تومـــهـ

      الوقت/التاريخ الآن هو الأربعاء سبتمبر 19, 2018 7:05 am