دروس المنتديات

القسم الثالث:

لزيادة حماية ملف Init.php
قم بتطبيق الاتي
لزيادة حماية الملف المرفق init.php
قم بترقيع هذه الثغرة والتي اكتشفها شخص بريطاني

والثغره موجوده في ملف init.php وتحديداً في سطر 542 وهي ثغرة SQL Injection

ويتم نجاح هذه الثغره إذا كانت خاصية magic_quotes_gpc معطله OFF داخل الـ PHP .


التـــرقـــيـــع :

توجد طريقتين

الأولى :

إضافة السطر التالي في ملف .htaccess

php_value magic_quotes_gpc 1

الثاني/ بتعديل ملف init.php .

قم بالبحث عن
$datastoretemp = $DB_site->query("
SELECT title, data
FROM " . TABLE_PREFIX . "datastore
WHERE title IN ('" . implode("', '", $specialtemplates) . "')
");


unset($specials, $specialtemplates);
واستبداله بالتالي
if(!is_array($specialtemplates))
exit;

$specialtemplate = array();
foreach ($specialtemplates AS $arrykey => $arryval)
{
$specialtemplate[] = addslashes($specialtemplates["$arrykey"]);
}

$datastoretemp = $DB_site->query("
SELECT title, data
FROM " . TABLE_PREFIX . "datastore
WHERE title IN ('" . implode("', '", $specialtemplate) . "')
");
unset($specials, $specialtemplates, $specialtemplate);
القسم الرابع:

توجد هناك ثغرة في online.php
(المتواجدون الان ) لم يتم الحصول على ترقيع لها او تحديد لها

لذلك وللاحتياط قم بالغاء عرض صفحة المتواجدون الان للاعضاء المسجلين والضيوف وغيرهم
ما عدا المشرف العام الا وهو انت من هنا:


ادخل لوحة التحكم الخاصة بالمنتدى
اذهب الى خيارات المجموعات
Usergroup Manager

اضغط على المجموعة المحددة
من خيار
Who's Online Permissions
اجعل جميعها NO لا

واحفظ قم بالتغيير للمجموعات المسجلة الا الادمن الا وهو انت فقط

وكل هذه المعلومات لديكم ستكون اساسية للخبرة مش اكثر لحماية المنتديات من وجود ثغرات .

ولكن كلنا نعرف ان لغات البرمجة جميعها يوجد بها ثغرات فنحن نساعد انفسنا على وقفها وسدها .

انتهى