رفتن به مطلب
بخش Unity به انجمن اضافه شد
  • 0

امنیت فایل های php در برنامه آنلاین


ha88an

سوال

سلام دوستان :53:

همونطور که میدونید برای برنامه های آنلاین همه از فایل های php استفاده میکنن :pardon:

خب حالا اگه لینک این فایل php دست یه نفر بیفته توی مرورگر خودش راحت میتونه استفاده کنه! :crazy:

مثلا ما یه SELECT نوشتیم داخل فایل php و هرکی که اونو لود کنه حتی بدون برنامه ما براحتی میتونه ازش استفاده کنه

بنظرتون برای افزایش امنیت این روش چیکار میشه کرد؟ :fekr:

 

موضوع جایی حاد میشه که مثلا ما فقط مدیر میخوایم insert انجام بده داخل بانک اطلاعاتی

اما از اونجایی که فرد عادی لینک فایل php رو داره راحت میتونه insert انجام بده :sorry:

 

بنظر خودم رسید از سشن استفاده کنم برای دسترسی کاربر، زمانی که لاگین کرد سشن مثلا true بشه بعد زمانی که خواست insert انجام بشه قبلش session رو چک کنه که true باشه حالا نمیدونم اینجا جواب بده این روش یا نه

لینک ارسال
به اشتراک گذاری در سایت های دیگر

8 پاسخ به این سوال تاکنون داده شده است

ارسال‌های توصیه شده

سلام

ببینید میتونین کاره دیگه ای هم بکنین

پرمیشن های فایل هاتون رو تغییر بدین

راستش نمیدونم دقیقا چه مقادیری باید بدین اما یه نفر یه بار هاستشو داد براش یه کاری بکنم

دیدم اینجوریه

موقعی که با Browser باز میشه ارور 403 میده ولی وقتی از اندروید ارتباط میگیره سالمه

هم این کار

و هم میتونین از Password Protect Directories استفاده کنین و Aurhentication رو از اندروید بنجام بدین

چون اکثر کتابخانه های اندروید که برای ارتباط با اینترنت و ارسال و دریافت هستن این قابلیت رو دارن

مثلا داخل کتابخانه HttpUtils فکر کنم 2 تا متغیر یوزر و پسورد رو میگرفت

همچنین داخل کتابخانه های دیگه مثلا HttpRequest (جاوا) یه متود به اسم Basic داشت که بهش یوزر و پسورد دایرکتوری که قفل کردیم رو میدادیم :)

لینک ارسال
به اشتراک گذاری در سایت های دیگر

درود

ببینید معمولا برای امنیت بیشتر اول میان که مقدار رو post میکنن به php

بعد اگر مقدار ارسالی مثلا برابر با: AnsWer3Nt3eR بود

اون موقع اطلاعات مورد نظر نشون میده در غیر این صورت یا چیزی نشون نمیده یا یک سری اطلاعات Fake از پیش تعریف شده نشون میده

 

البته روش های دیگه ای هم وجود داره که اساتید php ان شاءالله بیشتر راهنمایی میکنند

لینک ارسال
به اشتراک گذاری در سایت های دیگر

سلام

 

شما میتونید با استفاده از دستور switch    و مقدار دهی  به صورت POST  جلوی این کار بگیرید.  یک مثلی بزنم



switch ($_POST['action']){

		case "Test1":
			// COde

		Break;


		case "Test2":
			// COde2

		Break;


		case "Test2":
			// COde2

		Break;
}

کارش به این صورت هستش که  شما  توی اکشن میگیت مثلا    ارسال کامنت  یا لایک و یا ارسالپست و توی کیش ها دستور های مربوطبه اون رو میزارید این  کار بهتری هستش برای ارتباط بین یک برنامه اندروید

لینک ارسال
به اشتراک گذاری در سایت های دیگر

موقعی که با Browser باز میشه ارور 403 میده ولی وقتی از اندروید ارتباط میگیره سالمه

 

احتمال داره با اچ تی اکسس این کار رو کرده

 

 

یک نکته به کدم بزنم و اون اینه که  میتونی یک  default قرار بدی  و بگی اگر هیچ کدوم از این ها نبود بفرسته به صفحه 404  به وسیله تابع header

توی php

لینک ارسال
به اشتراک گذاری در سایت های دیگر

سلام

 

ما ک متوجه نشدیم

 

اگه میشه یه مثال کاربردی بزنید  :53: 

لینک ارسال
به اشتراک گذاری در سایت های دیگر

سلام

خب این خیلی مهمه که هرکسی نتونه اینکارو کنه اما...

دو تا مسئله هست؛

1-چطور یه نفر میتونه به راحتی به لینک فایل دسترسی پیدا کنه؟؟

خب من این جواب رو میدم که اگر رشته آدرس فایل php رو توسط یکی از لایبراری های دیکد و انکد مثل ManamEncrypter انکد کنیم، بعد موقع ارسال کردن درخواست به سرور، با همون لیب ManamEncrypter دیکد کنیم و بفرستیم، دیگه حتی توسط دیکامپایل هم آدرس دیده نمیشه و اون رشته ی نامفهوم انکد شده دیده میشه و شاید هم اگر کسی زرنگ باشه رمزش رو هم ببینه ولی خب با کمی خلاقیت و هوشمندی میتونیم اون رمز رو هم از کارکترهایی مثل $ % & ! و... بنویسیم که قابل تشخیص از سایرکدهای جاوا نباشه!

 

2-مرورگرها بطور پیشفرض چه نوع درخواستی میفرستند؟؟

مرورگرها بصورت پیشفرض درخواست از نوع GET میفرستند و در اندروید برای ارسال اطلاعات باید درخواست رو از نوع POST بفرستیم در نتیجه باید کدهای داخل php ما هم مقادیر http رو بصورت POST بگیرند و در این حالت دیگه امکان ارسال اطلاعات از طریق مرورگر نخواهد بود :)

موفق باشید

لینک ارسال
به اشتراک گذاری در سایت های دیگر

سلام

ببینید میتونین کاره دیگه ای هم بکنین

پرمیشن های فایل هاتون رو تغییر بدین

راستش نمیدونم دقیقا چه مقادیری باید بدین اما یه نفر یه بار هاستشو داد براش یه کاری بکنم

دیدم اینجوریه

موقعی که با Browser باز میشه ارور 403 میده ولی وقتی از اندروید ارتباط میگیره سالمه

هم این کار

و هم میتونین از Password Protect Directories استفاده کنین و Aurhentication رو از اندروید بنجام بدین

چون اکثر کتابخانه های اندروید که برای ارتباط با اینترنت و ارسال و دریافت هستن این قابلیت رو دارن

مثلا داخل کتابخانه HttpUtils فکر کنم 2 تا متغیر یوزر و پسورد رو میگرفت

همچنین داخل کتابخانه های دیگه مثلا HttpRequest (جاوا) یه متود به اسم Basic داشت که بهش یوزر و پسورد دایرکتوری که قفل کردیم رو میدادیم :)

 

ممنون از پاسختون جناب شایان

فوق العاده بود :53: :53: :53:

لینک ارسال
به اشتراک گذاری در سایت های دیگر

بایگانی شده

این موضوع بایگانی و قفل شده و دیگر امکان ارسال پاسخ نیست.

  • کاربران آنلاین در این صفحه   0 کاربر

    • هیچ کاربر عضوی،در حال مشاهده این صفحه نیست.
×
×
  • اضافه کردن...