ما الثغره الوحيده التى تجيب كل اعطال السكربتات SQL Injection

هكركوز الكويت مارس 04, 2026

 لا توجد ثغرة واحدة "سحرية" تكشف كافة أخطاء جميع السكربتات، ولكن حقن قواعد البيانات (SQL Injection) يعتبر الأكثر تدميراً وشيوعاً، حيث يسمح للمهاجمين بالتلاعب ببيانات الموقع، تجاوز تسجيل الدخول، أو حذف قاعدة البيانات بالكامل.

لماذا هي الأخطر؟ لأنها تستهدف مباشرة العمود الفقري لأي سكربت (قاعدة البيانات) عند ضعف الفلترة للمدخلات.
ثغرات أخرى خطيرة:
Log4j (Log4shell): تعتبر من أشرس الثغرات التي اكتشفت مؤخراً، تؤثر على البرمجيات الداخلية والخوادم.
Cross-Site Scripting (XSS): لسرقة جلسات المستخدمين.
الحل: لتفادي كافة الأعطال، يجب الاعتماد على الفحص الشامل (Security Auditing) وتحديث المكتبات والسكربتات دورياً

لا توجد ثغرة واحدة يمكنها إصلاح أو “جلب” كل أعطال السكربتات.

أعطال السكربتات تختلف باختلاف السبب، مثل:

  • ❌ أخطاء برمجية (Syntax / Logic Errors)

  • ⚙️ مشاكل توافق الإصدارات (مثلاً تحديث لغة مثل PHP أو Node.js)

  • 🔐 مشاكل صلاحيات أو إعدادات السيرفر (مثل إعدادات Apache HTTP Server أو Nginx)

  • 🗄️ أخطاء اتصال بقاعدة البيانات مثل MySQL

  • 🔄 تعارض إضافات أو مكتبات

  • 🚫 نقص ملفات أو مسارات خاطئة

إذا كان قصدك "ثغرة" بمعنى طريقة سحرية لإصلاح كل المشاكل — فهذا غير موجود تقنيًا.
لكن إن كنت تقصد "أكثر سبب شائع" يؤدي لتعطل السكربتات، فأكثرها انتشارًا هو:

عدم توافق الإصدار (Version Mismatch)
خصوصًا بعد تحديث السيرفر أو اللغة بدون تحديث السكربت.

1️⃣ نوع السكربت
مثلاً:

  • PHP

  • Python

  • Node.js

  • أو اسم النظام مثل WordPress / Laravel / Django

2️⃣ رسالة الخطأ كاملة كما تظهر
انسخها حرفياً (حتى لو كانت طويلة).

3️⃣ (اختياري لكن مهم)

  • إصدار اللغة (مثلاً PHP 8.1)

  • نوع السيرفر (Apache أو Nginx)

  • هل المشكلة ظهرت بعد تحديث؟

بين القديم والجديد في PHP 8.1 وتأثيره على Apache و Nginx فخليني أشرحها لك بشكل واضح 👇

أولاً: بخصوص PHP 8.1

PHP 8.1 جاء بتغييرات مهمة سببت تعطل كثير من السكربتات القديمة.

أهم الأشياء التي كسّرت السكربتات القديمة:

1️⃣ Deprecated features
بعض الدوال القديمة أصبحت مهجورة (Deprecated) وتظهر تحذيرات أو أخطاء.

2️⃣ Strict Types أقوى
التحقق من أنواع البيانات أصبح أكثر صرامة.

3️⃣ تغييرات في التعامل مع null
تم منع تمرير null لدوال لا تقبلها.

4️⃣ تحويل التحذيرات إلى أخطاء Fatal أحياناً

🔴 أكثر سبب يسبب تعطل سكربت قديم على PHP 8.1:

كود مكتوب لنسخة 5.6 أو 7.x بدون تحديث.

ثانياً: الفرق بين السيرفرين

🔹 Apache HTTP Server

  • يستخدم غالباً مع mod_php

  • أسهل للمبتدئين

  • .htaccess يعمل مباشرة

  • أبطأ نسبياً تحت الضغط العالي

🔹 Nginx

  • يعتمد على PHP-FPM

  • أسرع في الأداء

  • لا يدعم .htaccess

  • يحتاج إعدادات Rewrite يدوية

أهم نقطة 👇

تغيير السيرفر (Apache أو Nginx) نادراً يكون سبب المشكلة.
أما تغيير إصدار PHP هو السبب في 90٪ من الأعطال.

الحل العملي إذا تعطل سكربتك بعد التحديث:

1️⃣ جرّب تشغيله على PHP 7.4 مؤقتاً
2️⃣ فعّل عرض الأخطاء:

error_reporting(E_ALL);
ini_set('display_errors', 1);

3️⃣ راقب رسالة الخطأ وعدّل الكود حسبها
4️⃣ حدّث المكتبات المستخدمة

كيف تفعّل إظهار الأخطاء في PHP 8.1

نحن نتكلم عن PHP.

الطريقة 1 (من داخل ملف PHP نفسه – مؤقتاً)

ضع هذا في أعلى الملف (أول سطر بعد <?php مباشرة):

error_reporting(E_ALL);
ini_set('display_errors', 1);

⚠️ هذا يُستخدم فقط أثناء التطوير وليس في موقع مباشر.

الطريقة 2 (من php.ini – الأفضل)

افتح ملف php.ini وعدّل:

display_errors = On
error_reporting = E_ALL

ثم أعد تشغيل السيرفر:

  • إذا كنت تستخدم Apache HTTP Server:

sudo systemctl restart apache2

  • إذا كنت تستخدم Nginx مع PHP-FPM:

sudo systemctl restart nginx
sudo systemctl restart php8.1-fpm

الطريقة 3 (من .htaccess – في Apache فقط)

php_flag display_errors on
php_value error_reporting E_ALL

⚠️ لا تعمل مع Nginx.

اختبار أمني قانوني (Penetration Testing) 👍

خليني أعطيك الطريقة الصحيحة والآمنة.

أولاً: كيف تختبر موقعك بشكل صحيح

1️⃣ لا تُفعّل display_errors في الموقع المباشر

في PHP لا يُنصح بإظهار الأخطاء على الموقع المباشر لأن ذلك قد يكشف:

  • مسارات السيرفر

  • أسماء الملفات

  • استعلامات قاعدة البيانات

  • مفاتيح حساسة

بدلاً من ذلك 👇

✅ الأفضل: تسجيل الأخطاء في ملف

في php.ini:

display_errors = Off
log_errors = On
error_log = /var/log/php_errors.log

ثم راقب ملف الأخطاء.

ثانياً: أدوات اختبار الثغرات (بشكل قانوني)

🔎 1️⃣ فحص الثغرات العامة

  • OWASP ZAP
    أداة مجانية ممتازة لفحص:

    • XSS

    • SQL Injection

    • مشاكل Headers

  • Burp Suite
    قوية جداً لتحليل الطلبات والتلاعب بها

🔐 2️⃣ فحص إعدادات السيرفر

لو تستخدم:

  • Apache HTTP Server

  • أو Nginx

تأكد من:

  • إغلاق directory listing

  • إخفاء إصدار PHP

  • تفعيل HTTPS

  • منع تنفيذ الملفات في مجلد uploads

🛡 3️⃣ أهم شيء: بيئة اختبار منفصلة

اعمل نسخة من الموقع على:

  • سيرفر تجريبي (Staging)

  • أو جهازك المحلي

ولا تختبر مباشرة على الموقع الرئيسي.

ثالثاً: الأشياء التي يجب فحصها دائماً

✔️ حقن SQL
✔️ XSS
✔️ رفع ملفات ضارة
✔️ صلاحيات المستخدمين
✔️ CSRF
✔️ تسريب معلومات في الأخطاء

هكركوز الكويت

مرسلة بواسطة هكركوز الكويت

إرسال تعليق

0 تعليقات