أهلاً بكم أعضاء منتديات رواية الأعزاء،

لطالما كان مركز رفع الملفات هو "نقطة الضعف" الأكثر خطورة في أي موقع إلكتروني، وبوابةً محتملة للاختراقات إذا لم يتم تأمينه بالصورة الصحيحة. اليوم، نشارك معكم دراسة حالة تقنية مفصلة حول سكربت "مركز رفع ملفات" خاص، تم بناؤه من الصفر بلغة PHP النقية، معتمداً على ملفات JSON للتخزين بعيداً عن تعقيدات قواعد بيانات SQL.

في هذا الموضوع، لا نستعرض مجرد "سكربت"، بل نستعرض هيكلية أمنية متكاملة صُممت لتجعل من رفع الملفات عملية آمنة تماماً.

تم برمجة المركز باستخدام لغة PHP النقية دون الاعتماد على أطر عمل، مع استخدام JavaScript النقي للواجهات.

يعتمد النظام بالكامل على ملفات JSON لتخزين البيانات بدلاً من قواعد بيانات SQL، مما يجعله خفيفاً وسريع النقل.

يستخدم آلية "الكتابة الذرية" (Atomic) عند حفظ البيانات، لضمان عدم تلف الملفات.

2. آلية عمل المركز

الرفع: يمر الملف عبر سلسلة فحوصات أمنية قبل تخزينه.

الروابط: يحصل المستخدم على رابط تحميل + "كود حذف خاص" مشفر (128-بت) يستحيل تخمينه، مما يلغي الحاجة لعضويات المستخدمين.

الإدارة: النظام يعتمد على الرفع المجهول، بينما لوحة التحكم مخصصة للإدارة فقط.

تعطيل الأكواد الخبيثة: تعطيل محرك PHP تماماً داخل مجلدات الرفع لمنع تنفيذ أي أكواد (RCE).

الفحص المزدوج للصيغ: قائمة سوداء لأكثر من 80 امتداداً خطراً، وقائمة بيضاء للصيغ المسموحة.

كشف التمويه: قراءة "بصمة الملف" (Magic Bytes) لكشف الملفات المتنكرة حتى لو تغير امتدادها.

تنظيف الصور: إعادة ترميز الصور عبر مكتبة GD لتدمير أي شيفرة مخبأة.

حماية إضافية: جدار حماية (WAF)، نظام تحديد معدل الطلبات (Rate Limiting)، وحماية من تزوير الطلبات (CSRF).

لوحة مراقبة أمنية تعرض إحصائيات الاختراق والنشاطات الحديثة.

أدوات لعرض وحذف الملفات، والتحكم بإعدادات الرفع والأمان.

سجل أحداث وبلاغات يُنظَّف تلقائياً كل 30 يوماً للحفاظ على الأداء.

نظام حماية للوحة الإدارة يجمّد الدخول بعد 5 محاولات خاطئة.

دعم كامل للغتين العربية (RTL) والإنجليزية (LTR).

تبديل فوري وسلس بين الوضع الليلي والنهاري.

تنبية : في حال وجود مشاكل اخطاء يمكن طرح الموضوع في قسم تطوير المنتديات وباذن الله نقوم بحلها 

صور مرفقه  

رابط  مثال مركز الرفع