كيف احمي السكربت باي نوع يكون من اي هجمات من برامج او تطبيق يدوي
ممتاز، إذًا ما تريده هو سكربت أمان جاهز ومتكامل يمكنك وضعه داخل أي مجلد
مشروع، يقوم تلقائيًا بـ:
مراقبة التلاعب أو محاولات الاختراق (XSS, SQL Injection, Bots)
حظر المهاجم من أول مرة أو بعد عدد معين من المحاولات
حفظ المحاولات في سجل (log) للعرض لاحقًا
أن يكون السكربت سهل التثبيت ومرن (بأمر أو ملف إعداد)
مرتب ومنظم ويمكن ربطه بأي سكربت بسهولة
الحل المقترح: سكربت الحماية العام
secure-shield
📁 الهيكل العام:
lua
نسخ الكود
secure-shield/
├── shield.php ← ملف الحماية الأساسي (تدمجه في أي سكربت)
├── config.php ← إعدادات مثل عدد المحاولات والإجراءات
├── logs/ ← مجلد لتخزين سجل التهديدات
│ └── security.log
├── blocklist.txt ← قائمة IPs المحظورة
└── install.php ← واجهة تثبيت بسيطة لتحديد عدد المحاولات والإعدادات
🧠 مبدأ العمل:
عند دمج shield.php في بداية السكربت، يقوم بـ:
قراءة إعدادات config.php
التحقق من الـ IP الحالي وسلوكه (هل قام بمحاولة XSS أو SQLi أو طلب
آلي)
تسجيل المحاولة في ملف logs/security.log
حظر الـ IP إذا تجاوز الحد أو من أول مرة حسب الإعدادات
كتابة الـ IP في blocklist.txt
منع وصول أي IP محظور تلقائيًا
🛠️ مثال محتوى config.php:
🔧 install.php (واجهة إعداد)
واجهة بسيطة تتيح لك تحديد:
عدد المحاولات
مدة الحظر
التفعيل/الإيقاف لكل نوع فحص
✅ طريقة الاستخدام:
انسخ مجلد secure-shield/ داخل سكربتك.
في أي ملف تريد حمايته، أضف السطر التالي في الأعلى:
نفّذ install.php لتكوين الإعدادات بسهولة
النسخه الفعاله هنا
الهجمات
التي يكتشفها:
النوع الوصف
SQL Injection يحاول المهاجم تنفيذ استعلام SQL ضار (مثل ' OR 1=1 --)
XSS حقن كود JavaScript داخل صفحة (مثل <script>alert()</script>)
Bots يتعرف على سلوك روبوتات أو أدوات آلية (User-Agent أو أنماط التكرار)
✅ هل يمكن توسعته ليشمل تهديدات أخرى؟ نعم، بكل سهولة
ممكن نضيف كشف لـ:
النوع الإضافي طريقة الكشف
LFI / RFI إذا كان الرابط يحتوي على ../, etc/passwd, أو روابط HTTP مشبوهة
Command Injection كلمات مثل ;, &&, `
File Upload Attacks تحليل امتدادات الملفات المرفوعة أو محتوى $_FILES
Directory Traversal محاولات الوصول لملفات خارج السكربت (../../)
User-Agent Fake إذا كان العميل يحاكي متصفح وهو ليس كذلك
DoS Patterns عدد طلبات كثيرة جدًا من نفس IP في فترة قصيرة
🎯 مثال على تطوير الحماية:
في ملف shield.php مستقبلاً نضيف هذا داخل دالة الفحص:
⚙️ هل ترغب الآن بإضافة هذه الأنواع الأخرى في
shield.php الجاهز عندك؟
أقدر أجهز لك نسخة محدثة فيها حماية متقدمة ضد:
🛡️ SQLi
🛡️ XSS
🛡️ Bots
🛡️ Command Injection
🛡️ LFI/RFI
🛡️ Fake Uploads
🛡️ DoS patterns
لحماية سكربت الإعلانات المبوبة (أو أي سكربت PHP) من الهجمات، سواء من
أدوات تلقائية أو من محاولات يدوية (مثل SQL Injection, XSS, CSRF, وغيرها)،
يجب تنفيذ مجموعة من الخطوات الأمنية المنظمة على عدة مستويات:
🔐 أولاً: الحماية من هجمات SQL Injection
استخدام الـ Prepared Statements:
استخدم PDO أو MySQLi مع معاملات مهيأة (prepared statements) بدلًا من إدخال
البيانات مباشرة في الاستعلامات
التأكد من نوع البيانات:
تحقق دائمًا من نوع المتغيرات قبل استخدامها
🛡️ ثانيًا: الحماية من XSS (Cross-Site Scripting)
فلترة المخرجات:
استخدم htmlspecialchars() أو htmlentities() عند عرض أي مدخلات من المستخدم
منع إدخال أكواد HTML أو JavaScript:
في الحقول الحساسة، اجعل المدخلات نصية فقط باستخدام strip_tags() أو مزيج من
الفلترة والتطهير
🔒 ثالثًا: الحماية من CSRF (Cross-Site Request
Forgery)
رموز CSRF Tokens:
لكل نموذج (form)، أضف رمز تحقق مخفي يُولد تلقائيًا ويتم التحقق منه في
السيرفر
🚫 رابعًا: الحماية من Brute Force Login
تحديد عدد المحاولات الفاشلة:
تخزين محاولات الدخول الفاشلة في جدول login_attempts حسب IP
حظر مؤقت بعد عدد معين:
مثال: بعد 5 محاولات، يُمنع الدخول من هذا الـ IP لمدة 10 دقائق
كود تحقق CAPTCHA بعد عدد محاولات معين
📁 خامسًا: الحماية من رفع ملفات ضارة
السماح بأنواع محددة فقط:
تأكد من نوع الملف والامتداد (مثل JPG, PNG فقط)
التحقق من MIME Type:
إعادة تسمية الملفات المرفوعة وعدم السماح بتشغيلها كـ PHP
🔑 سادسًا: حماية الجلسات وتسجيل الدخول
استخدام session_regenerate_id(true) بعد كل تسجيل دخول
تخزين كلمات المرور بـ password_hash() وفحصها بـ password_verify()
استخدام HTTPS دائمًا
🔍 سابعًا: التحقق من الطلبات المشبوهة
رفض الطلبات التي تأتي من برامج أو أدوات (مثل curl أو Postman):
منع الزيارات المتكررة بنفس الـ IP خلال فترة قصيرة.
⚙️ ثامنًا: إعدادات السيرفر والملفات
تعطيل عرض الأخطاء في production:
ملف .htaccess لحماية المجلدات:
منع تشغيل PHP في مجلد uploads/:
✅ أدوات إضافية
حماية ضد Clickjacking:
حماية ضد Content Sniffing:
هل ترغب أن أضيف نظام حماية مدمج في ملفات مشروعك الحالي "classified-kuwait"
يشمل:
التحقق من IP
صد الروبوتات
حماية رفع الملفات
حماية XSS وSQLi
CSRF Token تلقائي
🛡️ الدليل الشامل لحماية أي سكربت PHP
✅ 1. حماية الإدخال (Input Sanitization)
استخدم دائمًا دوال التحقق والتنقية لكل مدخلات المستخدم:
📌 دوال مساعدة:
✅ 2. حماية قاعدة البيانات (SQL Injection)
استخدم دائمًا Prepared Statements مع PDO:
✅ 3. حماية الجلسات وتسجيل الدخول
تفعيل sessions الآمنة:
تشفير كلمة السر:
✅ 4. منع الهجمات المتكررة (Brute Force Protection)
أنشئ جدول login_attempts لتسجيل المحاولات لكل IP:
وتحقق بعدد المحاولات في آخر 15 دقيقة:
✅ 5. CSRF Protection (رمز تحقق)
✅ 6. XSS Protection
استخدم htmlspecialchars() دائمًا عند عرض البيانات من المستخدم.
✅ 7. تقييد رفع الملفات
السماح بأنواع معينة فقط:
تغيير الاسم عند الرفع وتخزينه بمجلد غير قابل للتنفيذ:
تأمين مجلد uploads/ عبر .htaccess:
✅ 8. فحص الـ User-Agent لحظر الأدوات
✅ 9. رؤوس أمان HTTP Headers
✅ 10. نظام حماية جاهز كمكتبة يمكنك نسخها
يمكنك حفظ الملف التالي كـ security.php ودمجه في أي مشروع:
⚙️ طريقة التفعيل:
انسخ الملف إلى مجلد: secure-shield/
افتح config.php وأضف إعداد كلمة المرور في آخر الملف مثلًا:
اذهب إلى:
وأدخل كلمة المرور لعرض جدول التهديدات.
📌 ملاحظات:
يعرض آخر التهديدات من security.log
يحمي التقرير بكلمة مرور حتى لا يتمكن أي شخص خارجي من الوصول
وسلامتكم
0 تعليقات