Posts Tagged ‘PHP’

PHP: الدليل على أهمية التحديث

Wednesday, February 3rd, 2010

بدايةً تشرفت بالعمل فى إمارة مكة المكرمة و بصحبة عدد من التقنيين المحترمين و حقيقة أنا سعيد بالعمل معهم ، و ثانياً هذا الموضوع غير ذى صلة بـPHP 5.2.0 أو ما يليها و لكنه للتدليل على أهمية تحديث PHP كلما كان ذلك ممكناً و كلما توافرت نسخة جديدة و مستقرة.

و ﻷستطيع بيان وجهة نظرى سوف أذكر حالة حدثت بالفعل فى PHP  و سببت ثغرة أمنية إعتبرت فى ذاك الوقت خطيرة ليس على PHP وحدها (و لنا فى هذا مقال إن شاء الله)

أى برنامج يأخذ القيمة المدخلة بواسطة المستخدم و يضعها فى متغير و الذى بدوره تقوم PHP بتخزينه فى الـSTACK (عذراً فلم أستمزج أن أقتنع بترجمة معينة لهذة الكلمة – كما هو الحال مع الـPARAMETER) ، و على افتراض أن القيمة النصية المدخلة أكبر من المساحة المخصصة للمتغير فى الـSTACK و بما أن حجم المتغير لا يتم تحديده فى PHP ، و هذا يعنى أنه نظرياً ممكن يكون بأى حجم ، و لكن عملياً هو محدد بحجم الذاكرة المتاحة على الخادم (أبسط تعريف ممكن) ، فى عام 2006 و تقريباً فى الشهور الأخيرة (لا أذكر التاريخ تحديداً) تم اكتشاف ثغرتين فى PHP من أهم و أخطر الأشياء التى حددت مستقبل اللغة فيما بعد ، و الثغرتين هما: htmlspecialchars و htmlentities

هما “وظيفتان” – كما يحلو لى ترجمة FUNCTIONS  أو “دالتان”  بالترجمة المتعارف عليها – من ضمن البنية الأساسية لـPHP و فكرة عملهما أن وسوم HTML لا تكون أكثر من ثمانية أحرف و هذا صحيح فى معظم الأحيان ، و (لكن) و عند استخدام UTF-8  و قيام PHP بالتدقيق على البيانات التى سوف تقوم بتمريرها هذه “الوظائف” و تجد أنها (البيانات) تزيد على الثمانية أحرف فإن PHP و بكل بساطة تزيد المساحة بمقدار حرفين (أصبح الناتج عشرة أحرف) و تحدث الثغرة بدءاً من تمرير إحدى عشر حرفاً (و هو ما يتمكن عن طريقه المهاجم أو “القرصان” من تمرير أى شفرة يرغب عن طريقها فى الحصول على بيانات بطريقة غير مشروعة).

و هنا يجدر بى الشرح قليلاً لموضوع الأحد عشر حرفاً (غاية فى الأهمية) و هو الـUTF-8 ، إحدى أساليب معالجة تشفير اللغات  فى الـUNICODE بما يسمح باستخدام الأحرف من خارج الأبجدية الرومانية لعرض الـMULTIBYTE LANGUAGES مثل العربية و الروسية و لغات أخرى ، و تقريباً تشمل الـUNICODE القياسية كل اللغات المتداولة ، و هى لغات كل حرف فيها يتم رسمه بأكثر من BYTE واحد و إخترعت فى الأساس لحل مشاكل محدودية جدول الـASCII و جدير بالذكر أن ASCII 128 (و هى الجدول المستخدم فى الحوسبة عموماً) تحتاج فى تشفيرها للحروف إلى BYTE واحد فإذا عادلنا حرف من جدول الـASCII بالـUTF-8 نجده ما زال حرفاً واحداً ، و الـUNICODE القياسية تحتاج إلى ثلاثة BYTES لتتضمن (افتراضياً) معظم الأحرف المستخدمة فى كل اللغات تقريباً كما سبق و ذكرنا ، و فى الـUTF-8 نجدها تحجز أربعة BYTES و لا نعتقد أن الـBYTE الرابع فارغ أو غير ضار (و هو ما سنحاول اثباته فى كتابنا ان شاء الله).

نخرج من هذه القصة العريضة (أعتذر عن الإطالة) بحتمية تحديث الـPHP كلما توفرت نسخة مستقرة و مراعاة تحديث الأنظمة و ملفاتها و مكتباتها الأساسية و الفرعية كلما أمكن ذلك ، و المحصلة أنه بما أن هذه المشكلة أو القصور قد كان و تم التعامل معه فى PHP 5.2 و ما بعدها فإن هذا لا يعنى عدم وجود مشكلات أخرى قد تكون أكبر و لكنها مختفية أو لنقل أنها لم تظهر بعد ، و الغريب أن نفس المشكلة ظهرت من قبل فى وظيفة أخرى قبل هاتين الوظيفتين و هى wordwrap وقد تم حلها. المقصود أيضاً من كلامى أنه لا يمكن الإعتماد على PHP وحدها لإبقاء برامجنا آمنة و خالية من القصور و المشاكل الأمنية ، بل لابد لنا من الدفاع عن شفرة برامجنا و بياناتنا بأساليبنا البرمجية التى قد تكون فى بعض الأحيان معقدة لخدمة غرض آخر أكبر و أهم و هو “الأمن”.

ملحوظة: هذا المقال لا يعنى شيئاً بلا مناقشات حقيقية حول أساليب الحماية البرمجية و للحديث جزء آخر عن إعدادات الـPHP.ini

المراجع

  • The web applications hackers handbook
  • أخطاء المبرمجين الأمنية (كتابنا الذى لم ننته منه بعد) إدعوا لنا بالتوفيق
  • php.net
  • unicode.org
VN:F [1.8.3_1051]
Rating: 0.0/5 (0 votes cast)
VN:F [1.8.3_1051]
Rating: 0 (from 0 votes)

Post to Twitter Post to Delicious Post to Facebook

Tags: , ,
Posted in PHP | No Comments »

Using regular expressions in mysql

Tuesday, November 17th, 2009

Using the keyword LIKE in a SELECT query is nice and easy but sometimes very limited. For more complex searches, use the keyword REGEXP.

It allows you to enter a Regular Expression search.

$query="SELECT * FROM `db`.`tbl` WHERE `NAME` REGEXP '^Ha+([a-zA-Z]*)'";

Will return ok for Hani, Hamed, Hazem, etc…

VN:F [1.8.3_1051]
Rating: 0.0/5 (0 votes cast)
VN:F [1.8.3_1051]
Rating: 0 (from 0 votes)

Post to Twitter Post to Delicious Post to Facebook

Tags: , , ,
Posted in PHP | No Comments »

OPEN ADODB Connection

Tuesday, February 1st, 2005
OPEN ADODB Connection
<?php
$conn = new COM("ADODB.Connection") or die("Cannot start ADO");
$conn->Open("Provider=SQLOLEDB; Data Source=localhost;
Initial Catalog=database; User ID=user; Password=password");

$rs = $conn->Execute("SELECT * FROM sometable");    // Recordset

$num_columns = $rs->Fields->Count();
echo $num_columns . "\n";

for ($i=0; $i < $num_columns; $i  )
{
    $fld[$i] = $rs->Fields($i);
}

$rowcount = 0;
while (!$rs->EOF)
{
    for ($i=0; $i < $num_columns; $i  )
    {
        echo $fld[$i]->value . "\t";
    }
    echo "\n";
    $rowcount  ;            // increments rowcount
    $rs->MoveNext();
}

$rs->Close();
$conn->Close();

$rs->Release();
$conn->Release();

$rs = null;
$conn = null;
?> 

HaniGamal.Net
VN:F [1.8.3_1051]
Rating: 0.0/5 (0 votes cast)
VN:F [1.8.3_1051]
Rating: 0 (from 0 votes)

Post to Twitter Post to Delicious Post to Facebook

Tags: ,
Posted in PHP, Web Development | No Comments »

PHP: How to access COM objects

Sunday, January 16th, 2005

$word=new COM("word.application") or die("Cannot start word");

print "Loaded word version ($word->Version)\n";

$word->visible =1;

$word->Documents->Add();

$word->Selection->Typetext("This is a test");

$word->Documents[1]->SaveAs("New.doc");

$word->Quit();


HaniGamal.Net
VN:F [1.8.3_1051]
Rating: 0.0/5 (0 votes cast)
VN:F [1.8.3_1051]
Rating: 0 (from 0 votes)

Post to Twitter Post to Delicious Post to Facebook

Tags: ,
Posted in PHP, Web Development | No Comments »

نظام قوالب للمستوى المتوسط

Thursday, November 4th, 2004

يتسائل الكثير من مبرمجى لغة PHP عن كيفية عمل نظام قوالب و قد رأيت من أهمية الموضوع أن أكتب هذا المقال مع أن لكتابة نظام للقوالب هناك العديد من الطرق و لكن هذه الطريقة مبسطة و تفى بغرض الشرح لمفهوم عمل نظام القوالب.



تعالوا فى نظرة مبدئية نتعرف على المتغيرات التى سوف نستخدمها فى ملف main.html و الـPHP:

فى هذا المثال سوف نستخدم <% main %>كمتغير فى ملفات القوالب الـHTML ، و القائمة الآتية بها المتغيرات فى صفحة index.php:

[code]

$main و هو متغير يحتوى على النص المراد عرضه فى ملف القالب

$content بالطبع متغير لنص آخر تريد عرضه فى ملف القالب

$fd

$filename متغير به إسم ملف القالب

$template متغير يتم فيه و عن طريقه إستبدال المتغيرات بالرموز التى سوف نستخدمها فى ملفات القوالب

$action

[/code]

أما الدوال و الأوامر التى سوف نستخدمها ففى القائمة التالية:

[code]

function template();

function home();

fopen

fclose

global

stripslashes

eregi_replace

echo

switch

default:

break:

[/code]

هذا النوع من البرمجة (القوالب) سوف يقوم بإخراج قيمة متغير ما – $main فى المثال – إلى صفحة HTML.

<% main %>

و الآن إفتح ملف HTML جديد وليكن إسمه template.html و ضع داخله الشفرة التالية:

[code]

<code>
&lt;html&gt;&lt;body&gt;
&lt;table cellpadding="0" spacepadding="0" border="0"&gt;
&lt;tr&gt;&lt;td valign=top align=left&gt;
&lt;% main %&gt;
&lt;/td&gt;&lt;/tr&gt;
&lt;/table&gt;
&lt;/body&gt;
&lt;/html&gt;
code>

[/code]

إفتح ملف index.php و ضع فيه الشفرة التالية:

[code]


function template($content) {

global $main;

$filename = "template.html"; if(!$fd = fopen($filename, "r")) {

$error = 1;

}

else {

$template = fread ($fd, filesize ($filename));

fclose ($fd);

$template = stripslashes($template);

$template = eregi_replace("<% main %>", "$main", $template);

$template = eregi_replace("<% content %>", "$content", $template);

echo "$template";

} } function home() {

global $main;

include ("test.php");

template("$data");

}

switch($action) {

default: // default switch

home();

break;

}

?>

[/code]

و الآن حان دور الملف الذى يحتوى على قيمة المتغير $main و ليكن إسمه test.php :

[code]

$main .= 'Testing templates take it easy with Zajil';

?>

[/code]

HaniGamal.Net
VN:F [1.8.3_1051]
Rating: 0.0/5 (0 votes cast)
VN:F [1.8.3_1051]
Rating: 0 (from 0 votes)

Post to Twitter Post to Delicious Post to Facebook

Tags: ,
Posted in PHP, Web Development | No Comments »

Get Adobe Flash playerPlugin by wpburn.com wordpress themes