دليل المبرمج: كيف تكتب كود آمن وتحمي تطبيقك؟

secure coding practices - دليل المبرمج: كيف تكتب كود آمن وتحمي تطبيقك؟ 1
FacebookXRedditPinterestEmail

دليل المبرمج: كيف تكتب كود آمن وتحمي تطبيقك؟

كود آمن

في عالم البرمجة اليوم، لم يعد كتابة كود وظيفي هو الهدف الوحيد. بل يجب على كل مبرمج أن يدرك أن الأمن السيبراني هو جزء أساسي من عملية التطوير. كتابة كود آمن يعني حماية بيانات المستخدمين، والسمعة، وحتى تجنب خسائر مالية فادحة.

هذا المقال بمثابة دليل عملي يركز على أشهر الثغرات التي يمكن أن يتعرض لها أي تطبيق، وكيف يمكنك كمبرمج أن تحمي نفسك وتطبيقك منها.

المحتوى إخفاء
I. 1. حقن SQL (SQL Injection)
II. 2. هجمات البرمجة عبر المواقع (Cross-Site Scripting – XSS)
III. 3. هجمات التزييف عبر المواقع (Cross-Site Request Forgery – CSRF)
IV. 4. التعامل مع كلمات المرور
V. 5. تأمين المدخلات (Input Validation)
VI. 6. التعامل الآمن مع تحميل الملفات
VII. 7. تأمين واجهات البرمجة (APIs)
VIII. 8. تسجيل الأخطاء والمراقبة (Logging and Monitoring)
IX. 9. نصائح إضافية
X. الخلاصة

1. حقن SQL (SQL Injection)

تعتبر هجمات حقن SQL من أقدم وأخطر الثغرات. تحدث عندما يقوم المهاجم بإدخال أو “حقن” أوامر SQL خبيثة في حقل إدخال (مثل حقل تسجيل الدخول أو البحث)، مما يجبر قاعدة البيانات على تنفيذ أوامر لم تكن مقصودة.

كيف تحدث الثغرة؟

لنفترض أن لديك كودًا غير آمن في لغة PHP لاستعلام قاعدة البيانات:

// كود غير آمن
// لا تقم باستخدامه!
$username = $_POST['username'];
$password = $_POST['password'];

$sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";
$result = $conn->query($sql);

if ($result->num_rows > 0) {
    // تسجيل دخول ناجح
}

إذا قام مهاجم بإدخال admin'-- في حقل اسم المستخدم وترك حقل كلمة المرور فارغًا، فإن الاستعلام سيتحول إلى:

SELECT * FROM users WHERE username = 'admin'--' AND password = ''

الرمز -- هو تعليق في SQL، مما يعني أن بقية الاستعلام سيتم تجاهله، وسيتمكن المهاجم من الدخول كمدير (admin) دون الحاجة إلى كلمة مرور صحيحة.

كيف تحمي نفسك؟

استخدم الاستعلامات المعدة (Prepared Statements) أو الاستعلامات المُعاملة (Parameterized Queries). هذه الطريقة تفصل بين الكود وبيانات المستخدم، مما يمنع تنفيذ الأوامر الخبيثة.

مثال على كود آمن في PHP:

// كود آمن باستخدام الاستعلامات المُعدة
$stmt = $conn->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->bind_param("ss", $_POST['username'], $_POST['password']);
$stmt->execute();
$result = $stmt->get_result();

if ($result->num_rows > 0) {
    // تسجيل دخول ناجح وآمن
} else {
    // فشل تسجيل الدخول
}

2. هجمات البرمجة عبر المواقع (Cross-Site Scripting – XSS)

تحدث ثغرة XSS عندما يقوم المهاجم بحقن كود JavaScript خبيث في موقعك. عندما يزور المستخدم الموقع، يتم تنفيذ هذا الكود في متصفحه، مما قد يسمح للمهاجم بسرقة ملفات تعريف الارتباط (cookies)، أو بيانات الجلسة (session data)، أو حتى إعادة توجيه المستخدم إلى موقع آخر.

أنواع هجمات XSS

  • XSS المنعكسة (Reflected XSS): يتم حقن الكود الخبيث في رابط URL ويعود مباشرة في استجابة الخادم.
  • XSS المخزنة (Stored XSS): يتم تخزين الكود الخبيث بشكل دائم في قاعدة البيانات (مثل تعليق في مدونة)، ويتم تنفيذه في كل مرة يزور فيها المستخدم الصفحة.
  • XSS المستندة إلى DOM (DOM-based XSS): تحدث عندما يتم حقن الكود الخبيث وتعديل شجرة DOM الخاصة بالصفحة من قبل كود JavaScript العادي دون تدخل من الخادم.

كيف تحمي نفسك؟

قم دائمًا بتعقيم (Sanitize) أو ترميز (Encode) أي بيانات قادمة من المستخدم قبل عرضها. هذا يحول الرموز البرمجية الخاصة إلى نصوص عادية لا يمكن تنفيذها.

مثال على كود آمن في JavaScript:

// كود آمن باستخدام textContent بدلاً من innerHTML
// هذا يمنع تنفيذ أي كود JavaScript محقون
const userInput = "";
const commentElement = document.createElement('p');
commentElement.textContent = userInput;
document.body.appendChild(commentElement);

أفضل الممارسات للوقاية من XSS:

  • استخدم مكتبات مثل DOMPurify في JavaScript لتعقيم (Sanitize) محتوى HTML.
  • تطبيق “سياسة أمان المحتوى” (CSP – Content Security Policy) لمنع متصفحات المستخدمين من تنفيذ الكود الضار.

3. هجمات التزييف عبر المواقع (Cross-Site Request Forgery – CSRF)

تحدث هذه الهجمات عندما يتم خداع المستخدم لتنفيذ إجراء غير مقصود على موقع ويب موثوق به. على سبيل المثال، قد يرسل المهاجم بريدًا إلكترونيًا يحتوي على رابط خبيث، وعندما يضغط عليه المستخدم، يتم تنفيذ طلب تحويل أموال من حسابه المصرفي دون علمه.

كيف تحمي نفسك؟

استخدم CSRF Tokens وهي رموز سرية وفريدة يتم إنشاؤها لكل طلب. عندما يرسل المستخدم نموذجًا، يتم إرسال هذا الرمز مع البيانات. يقوم الخادم بالتحقق من صحة الرمز قبل تنفيذ الطلب، مما يضمن أن الطلب قادم من نموذج حقيقي على موقعك، وليس من موقع خارجي.

مثال على استخدام CSRF Token في PHP:

// في معالج الطلب
if (isset($_POST['csrf_token']) && $_POST['csrf_token'] === $_SESSION['csrf_token']) {
     // الرمز صحيح، قم بتنفيذ الإجراء المطلوب
    // هنا يتم تحويل الأموال مثلاً
    echo "تمت عملية التحويل بنجاح.";
} else {
    // الرمز غير صحيح، أوقف العملية
    echo "خطأ في عملية التحقق من الرمز CSRF.";
    exit;
}

4. التعامل مع كلمات المرور

لا تقم أبدًا بتخزين كلمات المرور كنصوص عادية في قاعدة البيانات. إذا تم اختراق قاعدة البيانات، فستكون جميع كلمات المرور مكشوفة.

كيف تحمي نفسك؟

استخدم التجزئة (Hashing) مع التمليح (Salting).

  • التجزئة (Hashing): هي عملية تحويل النص العادي (كلمة المرور) إلى سلسلة من الأحرف والأرقام غير القابلة للقراءة. من المستحيل عكس هذه العملية واستعادة كلمة المرور الأصلية.
  • التمليح (Salting): هي إضافة سلسلة عشوائية فريدة (الملح) إلى كلمة المرور قبل تجزئتها. هذا يمنع استخدام جداول قوس قزح (Rainbow Tables) لكسر كلمات المرور.

مثال على كود آمن في PHP:

عند تسجيل المستخدم:

$hashed_password = password_hash($password, PASSWORD_BCRYPT);
// الآن قم بتخزين $hashed_password في قاعدة البيانات

عند تسجيل الدخول:

// $hashed_password_from_db هي كلمة المرور المجزأة من قاعدة البيانات
if (password_verify($password, $hashed_password_from_db)) {
    // كلمة المرور صحيحة
} else {
    // كلمة المرور غير صحيحة
}

5. تأمين المدخلات (Input Validation)

التحقق من المدخلات هو أول وأهم خطوة في تأمين تطبيقك. يجب أن تتأكد من أن البيانات التي يرسلها المستخدمون تتوافق مع التنسيق المتوقع.

كيف تحمي نفسك؟

  • تحقق من النوع والحد الأقصى: تأكد من أن المدخلات هي من النوع الصحيح (نص، رقم، تاريخ، إلخ) وأنها لا تتجاوز الحدود المسموح بها.
  • التحقق من المدخلات في جانب الخادم (Server-side): لا تعتمد أبدًا على التحقق من المدخلات في جانب العميل (Client-side) فقط. يمكن للمهاجمين تجاوز التحقق في المتصفح بسهولة. يجب أن تتم عملية التحقق على الخادم أيضًا.
  • التعقيم (Sanitization): قبل تخزين البيانات، قم بإزالة أي أحرف غير مرغوب فيها أو أكواد خبيثة.

مثال على التحقق من المدخلات في PHP:

// التحقق من أن المتغير رقم صحيح
if (filter_var($age, FILTER_VALIDATE_INT) === false) {
    // التعامل مع الخطأ
}

// إزالة الأحرف غير المرغوب فيها من string
$sanitized_string = filter_var($string, FILTER_SANITIZE_STRING);

6. التعامل الآمن مع تحميل الملفات

تحميل الملفات يمكن أن يكون نقطة ضعف كبيرة إذا لم يتم تأمينه بشكل صحيح. يمكن للمهاجمين تحميل ملفات خبيثة مثل ملفات PHP أو JavaScript لتنفيذ أوامر على الخادم.

كيف تحمي نفسك؟

  • لا تثق بنوع الملف: لا تعتمد على نوع الملف الذي يرسله المستخدم (MIME Type) فقط. قم بالتحقق من نوع الملف الفعلي.
  • تغيير اسم الملف: قم بتغيير اسم الملف إلى اسم عشوائي لمنع المهاجمين من تنفيذ الملف مباشرة.
  • فحص المحتوى: قم بفحص محتوى الملف بحثًا عن أكواد خبيثة.
  • تخزين الملفات خارج مجلد الويب العام: لا تقم بتخزين الملفات التي تم تحميلها في مجلد يمكن الوصول إليه مباشرة من الويب.

مثال على كود تحميل آمن في PHP:

$target_dir = "uploads/";
$file_extension = pathinfo($_FILES["fileToUpload"]["name"], PATHINFO_EXTENSION);
$new_filename = uniqid() . '.' . $file_extension;
$target_file = $target_dir . $new_filename;

// التحقق من نوع الملف الفعلي
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mime_type = finfo_file($finfo, $_FILES["fileToUpload"]["tmp_name"]);
if (in_array($mime_type, ['image/jpeg', 'image/png'])) {
    if (move_uploaded_file($_FILES["fileToUpload"]["tmp_name"], $target_file)) {
        echo "تم تحميل الملف بنجاح.";
    } else {
        echo "حدث خطأ أثناء تحميل الملف.";
    }
} else {
    echo "نوع الملف غير مسموح به.";
}

7. تأمين واجهات البرمجة (APIs)

تأمين APIs أمر حاسم، خاصة في الأنظمة التي تعتمد على تطبيقات الويب والموبايل.

كيف تحمي نفسك؟

  • استخدم HTTPS: تأكد من أن جميع اتصالات API تتم عبر HTTPS.
  • التحقق من الهوية (Authentication): استخدم طرق آمنة للتحقق من هوية المستخدم مثل OAuth 2.0 أو JSON Web Tokens (JWT).
  • الترخيص (Authorization): تأكد من أن المستخدم لديه الصلاحيات اللازمة للوصول إلى المورد المطلوب.
  • تحديد معدل الطلبات (Rate Limiting): قم بتقييد عدد الطلبات التي يمكن للمستخدم إرسالها خلال فترة زمنية محددة لمنع هجمات الحرمان من الخدمة (DDoS).

8. تسجيل الأخطاء والمراقبة (Logging and Monitoring)

تعتبر المراقبة وتسجيل الأخطاء جزءًا لا يتجزأ من الأمن. إذا حدث اختراق، فإن السجلات (logs) هي أول ما ستعتمد عليه لفهم ما حدث.

أفضل الممارسات:

  • سجل الأحداث الهامة: قم بتسجيل محاولات تسجيل الدخول الفاشلة، وتغييرات الصلاحيات، وتحميل الملفات، وغيرها من الأحداث الهامة.
  • لا تسجل البيانات الحساسة: لا تقم بتخزين كلمات المرور أو أرقام بطاقات الائتمان في السجلات.
  • استخدم أدوات المراقبة: استخدم أدوات لمراقبة أداء وأمان تطبيقك بشكل مستمر.

9. نصائح إضافية

  • تحديث المكتبات: قم بتحديث جميع المكتبات وأطر العمل التي تستخدمها بانتظام لسد الثغرات الأمنية المعروفة.
  • مبدأ “أقل صلاحية” (Principle of Least Privilege): امنح المستخدمين والمكونات في نظامك أقل قدر ممكن من الصلاحيات التي يحتاجونها لأداء مهامهم.
  • استخدم “سياسة أمان المحتوى” (CSP): قم بتعريف هذه السياسة لمنع متصفحات المستخدمين من تحميل الموارد من مصادر غير موثوق بها.

الخلاصة

الأمن السيبراني ليس مسؤولية فرق الأمن فقط، بل هو مسؤولية كل مبرمج. من خلال فهم هذه المفاهيم الأساسية وتطبيق أفضل الممارسات، يمكنك بناء تطبيقات أكثر قوة وأمانًا. تذكر دائمًا: لا تثق أبدًا بمدخلات المستخدم.

موضوعات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *