امنیت در php

یه سولا دیگه هم از اساتید داشتم:

ببنید، دوتا صفحه داریم: index.php و admin.php

حالا می خوام صفحه admin.php از آدرس بار بالا نیاد. یعنی حتما از صفحه ایندکس یوزر و پسورد داده بشه و بالا بیاد.

چی کار باید بکنم.

این کار برای صفحات دیگه هم هست که یوزر و پس نمی خوان.

مثلا صفحه مدیریت لینک ها در بخش مدیریت سایت:
این صفحه فقط باید از صفحه ادمین باز بشه

اما الان از آدرس بار هم می شه مستقیم تایپ کرد و وارد صفحه شد.

در حالی که صفحه باید تشخیص بده که آیا این صفحه قبلی ادمین بوده یا نه؟؟ اگه ادمین بوده باز شو و اگه نه یه پیغام بده.


شاد باشید

نقل قول:

---

یه سولا دیگه هم از اساتید داشتم:

ببنید، دوتا صفحه داریم: index.php و admin.php

حالا می خوام صفحه admin.php از آدرس بار بالا نیاد. یعنی حتما از صفحه ایندکس یوزر و پسورد داده بشه و بالا بیاد.

---

فكر كنم با تابع include بشه اين كار رو انجام داد.:46:

امکان داره یه کم بیشتر راهنمایی کنید؟؟

سلام
شما در صفحه ی index.php یک ثابت تعریف کنید:

[PHP]define("CONSTANT", 1);[/PHP]

در صفحه ی admin.php این دستور را بنویسید:

[PHP]if !(CONSTANT=1) die("You can't access this page directly...");[/PHP]

موفق باشید

نقل قول:

---

امکان داره یه کم بیشتر راهنمایی کنید؟؟

---

توي يه صفحه متغيرها و توابعت رو معرفي مي كني (مثلا تو صفحه admin.php)
بعد با استفاده از تابع include متغيرهايي رو كه توي صفحه admin.php تعريف كردي رو در صفحه index.php فراخواني مي كني.
الان مثلا همين سيستم مديريت محتواي ژوپيتر يه چنين حالتي داره مثل سايتي كه توي امضام هست.
براي اطلاعات بيشتر به صفحه پايين برو

کد:

---

http://ir.php.net/include/

---

خیلی سپاسگذارم از توجه تون

نقل قول:

---

نوشته شده توسط متالیک [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

سلام
شما در صفحه ی index.php یک ثابت تعریف کنید:

[PHP]define("CONSTANT", 1);[/PHP]

در صفحه ی admin.php این دستور را بنویسید:

[PHP]if !(CONSTANT=1) die("You can't access this page directly...");[/PHP]

موفق باشید

---

خیلی ممنونم متالیک گرامی

سلام
چون تاپیک امنیت هست سوالمو اینجا میگم:
mysql_connect(servername,username,password);
فکر نمی کنم قرار دادن پسورد به صورت مستقیم در این تابع درست باشه. شما چه راهی پیشنهاد میکنید؟
ممنون

شما میتونی به Md5 تبدیل کنی که امن بشه

یعنی فرضا اگر md5 رشته "202020" به صورت "34g45hgh546hg45yhg56y5htr5" باشه، شما میگید که پسورد user رو همون md5 ذخیره کنیم و در تابع 202020 رو قرار بدیم؟
اگر منظور شما همینه پس باید یک تابع هم برای بدست آوردن پسورد بنویسیم که ترجیحا بهتره در همون صفحه نباشه.
درسته؟

بله منظورم همین بود

سلام دوستان

Php Safe Mode یعنی حالت ام Php
این حالت ام Php چه کارایی انجام میده؟ یعنی اگه فعال باشه چه اتفاق می افته و اگه نباشه چی مشه و چه خطر هایی وجود داره.

این روشهایی رو که دوستان برای وارد نشدن به صفحه مورد نظر از طریق url گفتن همشون قابل نفوظ هستش!!!!!!!!!!!!!!!!!!!!
بهترین،امن ترین و منطقی ترین کار استفاده از سشن ها هستش.
اگه خواستی بگو تا یه سورس از یه guest book بزارم که توش از سشن برای این کار استفاده شده.

نقل قول:

---

نوشته شده توسط hadi_joulaee [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

این روشهایی رو که دوستان برای وارد نشدن به صفحه مورد نظر از طریق url گفتن همشون قابل نفوظ هستش!!!!!!!!!!!!!!!!!!!!
بهترین،امن ترین و منطقی ترین کار استفاده از سشن ها هستش.
اگه خواستی بگو تا یه سورس از یه guest book بزارم که توش از سشن برای این کار استفاده شده.

---

سلام.

نمی شه گفت که session ها امن ترین هستن، ولی در مقایسه با کوکی ها خیلی بهتر هستن.
--------------
راستی یه سوال، فکرمی کنم اولین سوالمه!:18::31:

ما تو ASP.NET یه مقوله داریم به عنوان Session Hijacking می خواستم بدونم توی php هم یه همچین چیزی هست یا نه.
اگر متوجه نشدید، بگید تا یک توضیح کوچیک بدم...

سلام.

ممنون از همتون جوابمو پیدا کردم [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

کد:

---

http://phpsec.org/projects/guide/4.html

---

کد:

---

http://en.wikipedia.org/wiki/Session_hijacking

---

سشن ها به صورت معمول امن ترین روش برای تعیین اعتبار نیستن اما روشهایی وجود داره که امنیت رو برای سشنها بیشتر میکنه
یکی از این روشها استفاده از دیتابیس برای ذخیره سشنها هست که معمولاً برای سایتهایی که امنیتشون مهمه استفاده میشه تا اطلاعات کاربران به جای فایلهای سشن تو دستابیس ذخیره بشه

-------------
Session Hijacking چی هست؟؟ خوراکیه؟ من تا حالا نخوردم ولی خیلی به گوشم آشناس :31:

سوال فنی : چطور میتونم از دزدیده شدنه session جلوگیری کنم !؟:31::31::31::31::31::31:3!:

آقا امين چرا تو php نباشه مگه php چشه:دي

session hijacking يا همون دزدي سشن تو اين مدل هكر مياد با دادن يه سشن آي دي ، سشن را ميدزده حالا اگه طراح دقيقآ نام كاربري با پسورد را تو سشن قرار داده باشه بيچاره كاربر اين وسط هك ميشه
تو php براي مقابله با اين كار ميشه محتويات سشن را هش كرد(md5)
حالا تو بگو ASP.NET چطوريه؟

نقل قول:

---

نوشته شده توسط zibatarin nam [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

آقا امين چرا تو php نباشه مگه php چشه:دي

session hijacking يا همون دزدي سشن تو اين مدل هكر مياد با دادن يه سشن آي دي ، سشن را ميدزده حالا اگه طراح دقيقآ نام كاربري با پسورد را تو سشن قرار داده باشه بيچاره كاربر اين وسط هك ميشه
تو php براي مقابله با اين كار ميشه محتويات سشن را هش كرد(md5)
حالا تو بگو ASP.NET چطوريه؟

---

ممنون داوود جان.

بگو چش نیست (!!!) [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
شوخی کردم، من خودم هم php دارم یاد می گیرم، و تا حالا بدی ازش ندیدم...


توی ASP.NET دوتا راه وجود داره یکی از طریق حدس زدن session id و یکی دیگه اینکه از طریق کوکی که حاوی session id هست، اون session رو بدست بیاری.
برای مقابله هم توی ASP.NET تقریبا مثل php هست، و از روشهای hash استفاده می شه، به اینصورت که اطلاعات session رو بعلاوه session id به یکی از الگوریتمهای hash تبدیل می کنیم.

کسی جواب منو نداد؟

من سوال کردم Php Safe Mode چه امکاناتی رو بوجود میاره که باعث امتر شدن Php میشه؟؟؟؟

نقل قول:

---

من سوال کردم Php Safe Mode چه امکاناتی رو بوجود میاره که باعث امتر شدن Php میشه؟؟؟؟

---

فكر مي كنم يه سر اينجا بزني جوابتو ميگيري
مثالشو حتمآ ببين

کد:

---

http://ir.php.net/features.safe-mode

---

نقل قول:

---

نوشته شده توسط zibatarin nam [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

فكر مي كنم يه سر اينجا بزني جوابتو ميگيري
مثالشو حتمآ ببين

کد:

---

http://ir.php.net/features.safe-mode

---

---

البته قبلاً این صفحه رو تا حدودی خونده بودم ولب فکر میکردم حتماً چیز دیگه ای هم هست.
البته برای اینکه درک مطلب برای خودم و شما راحت تر بشه کمی ترجمه رو تغیر دادم، اگه بد ترجمه نکرده باشم. نوشته بود:

The PHP safe mode is an attempt to solve the shared-server security problem. It is architecturally incorrect to try to solve this problem at the PHP level, but since the alternatives at the web server and OS levels aren't very realistic, many people, especially ISP's, use safe mode for now.

حالت PHP Safe mode را حلی برای حل مشکل امنیتی سرور های اشتراکی است و استفاده ی PHP Safe mode از لحاظ معماری برای حل این مشکل امنیتی در سطح PHP درست نیست. اما از اونجایی که راه حل ها ی سرورهای وب و سیستم عامل ها خیلی درست به نظر نمیرسند، بسیاری از مردم مخصوصاً ISPها از Safe Mode استفاده میکنند.

و بنا بر این PHP Safe Mode در PHP 6 کلاً حذف میشه :31:

سلام به همگی دوتا سوال داشتم :

اول : چطور میشه از دزدیده شدن session جلوگیری کرد ؟
دوم : دلیله اینکه تو انجمن نمیزاره هر موقع خواستی بدون فاصله زمانی پست ارسال کنی؟ دلیل امنیتی داره؟

تشکر//

نقل قول:

---

اول : چطور میشه از دزدیده شدن session جلوگیری کرد ؟
دوم : دلیله اینکه تو انجمن نمیزاره هر موقع خواستی بدون فاصله زمانی پست ارسال کنی؟ دلیل امنیتی داره؟

---

اول: تو صفحه قبل كه هم امين توضيح داد هم من(ولي يه چيز يادم رفت بگم اينجور دزدي ها بيشتر تو سايتهاي پر بيننده رخ ميده اونم اينجوريه كه هكر مياد يه الگوريتم مينويسه كه يه سري اعداد رندم را توليد ميكنه تا با سشن اي دي جور در بياد)

دوم:احتمال زياد هم دليل امنيتي داره هم دليل بهينه سازي چون كاربر اگه كاربر انسان باشه نمينونه تو يه مدت زمان معين 20 تا پست را در فاصله زماني كم بده

نقل قول:

---

دوم:احتمال زياد هم دليل امنيتي داره هم دليل بهينه سازي چون كاربر اگه كاربر انسان باشه نمينونه تو يه مدت زمان معين 20 تا پست را در فاصله زماني كم بده

---

دلیلت قبول حالا اومدو یه انسانی تونست !! :31:

كدوم انسان بيكاري رو ديدي بشينه ار صبح هي پشت سر هم پست بده اونم تو طول چند ثانيه !!!
اگر هم باشه خيلي جواده [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

نقل قول:

---

دلیلت قبول حالا اومدو یه انسانی تونست !!

---

اون سیستم آنتی اسپمه اونوقت انسانش میشه اسپمر ! 

نقل قول:

---

اون سیستم آنتی اسپمه اونوقت انسانش میشه اسپمر !

---

ووو - نکته انحرافی داشت :31::31: خوب تایم چه فاییده روبات میاد صبر میکنه بعدش میره تو نخه کار !
خوب اصلا از کجا میفهمه من پست دادم همین الان باید 20 ثانیه صبر کنم؟ از کجا میفهمه که من منم؟:31:

نقل قول:

---

نوشته شده توسط Bill Gates [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

ووو - نکته انحرافی داشت :31::31: خوب تایم چه فاییده روبات میاد صبر میکنه بعدش میره تو نخه کار !
خوب اصلا از کجا میفهمه من پست دادم همین الان باید 20 ثانیه صبر کنم؟ از کجا میفهمه که من منم؟:31:

---

از رو آی پی ! 

ضمنا واسه کم کردن سرعتشه هم انسانی هم روباتیک ! 

نقل قول:

---

اول : چطور میشه از دزدیده شدن session جلوگیری کرد ؟

اول: تو صفحه قبل كه هم امين توضيح داد هم من(ولي يه چيز يادم رفت بگم اينجور دزدي ها بيشتر تو سايتهاي پر بيننده رخ ميده اونم اينجوريه كه هكر مياد يه الگوريتم مينويسه كه يه سري اعداد رندم را توليد ميكنه تا با سشن اي دي جور در بياد)

---

خوب اگه دزدیدن سیشن فقط ایجاد یک سیشن آی دی باشه فکر کنم برای جلوگیریش شما بهتر است در هر صفحه مقدار سیشن رو بررسی کنید و اگر کاربری با مشخصاتی که در سیشن وجود دارد در بانک بود که هیچ در غیره این صورت هم که معلومه چه کار باید کرد

ولی اگر می شه کمی بیشتر در این باره توضیح بدید ممنون می شم .

نقل قول:

---

دوم : دلیله اینکه تو انجمن نمیزاره هر موقع خواستی بدون فاصله زمانی پست ارسال کنی؟ دلیل امنیتی داره؟

دوم:احتمال زياد هم دليل امنيتي داره هم دليل بهينه سازي چون كاربر اگه كاربر انسان باشه نمينونه تو يه مدت زمان معين 20 تا پست را در فاصله زماني كم بده

---

به نظر من بیشتر امنیتی است تا چیزه دیگه .

مثلا من الان از مرورگر Opera استفاده می کنم و وقتی که چند صفحه باز می کنم و ( برای صرفه جویی در ... ) دیس می شم و برای بعضی از صفحه ها مثلا می خوام پستی بدم وقتی که دوباره کانکت می شم باید برای ارسال هر پست مثلا 30 ثانیه صبر کنم و نمی تونم پستهام رو به صورت هم زمان برای تایپیکهای دیگه ارسال کنم .

برای انجام این کار هم یعنی ایجاد وقفه سایت یک زمان رو برای هر پست ثبت می کنه و وقتی که می خواهید دوباره پست بدید این زمان آخرین پست شما رو بررسی می کنه و اجازه ثبت پست رو می ده

نقل قول:

---

خوب اصلا از کجا میفهمه من پست دادم همین الان باید 20 ثانیه صبر کنم؟ از کجا میفهمه که من منم؟

---

با بررسی آدرس صفحه ای که پست رو ارسال می کنه و مشخصات کاربری شما می شه کاری کرد .

salam b e hamegi har ki code asp dar har zamine dare bizahmat roo kone
ba tashakor