🎯 1. فحص الإدخالات (Input Testing)
XSS Attack [حرج]
<script>alert('XSS')</script>
<img src=x onerror=alert(1)>
SQL Injection [حرج]
' OR '1'='1
admin'--
1'; DROP TABLE users--
حقول فارغة ومسافات فقط
(فارغ - لا شيء)
(مسافات فقط)
نصوص طويلة جداً (10,000+ حرف)
AAAAAAA... (كرر 10000 مرة)
أحرف خاصة ورموز
!@#$%^&*()_+-={}[]|:";'<>?,./~`
أرقام سالبة وصفر
-1
-999
0
أرقام ضخمة جداً [عالي]
999999999999
2147483648
نصوص في حقول رقمية
ABC
test123
<script>
Email غير صحيح
test
test@
@test.com
Email Injection [حرج]
test@test.com%0ACc:hacker@evil.com
📁 2. رفع الملفات (File Upload)
رفع ملف PHP [حرج]
shell.php
backdoor.php
تغيير امتداد الملف [حرج]
shell.php.jpg
file.PhP
image.jpg.php
ملف ضخم جداً (100+ MB)
large_file.jpg (500 MB)
ملف فارغ (0 bytes)
empty.jpg (0 KB)
اسم ملف خطير [عالي]
../../shell.php
%00shell.php
🔐 3. الصلاحيات (Authorization)
دخول صفحات بدون تسجيل [حرج]
admin.php, dashboard.php, edit.php مباشرة
تغيير ID في URL [حرج]
edit.php?id=1,2,3... جرب أرقام مختلفة
الوصول لبيانات مستخدمين آخرين [حرج]
profile.php?user_id=999 (ليس لك)
البقاء مسجل بعد Logout
زر Back بعد تسجيل الخروج
CSRF - إرسال فورم بدون Token [حرج]
حذف csrf_token من الفورم
🚀 4. Checklist قبل الإطلاق (Pre-Launch)
✅ Prepared Statements في كل SQL Query [حرج]
✅ htmlspecialchars() على كل Output [حرج]
✅ CSRF Token في كل فورم [حرج]
✅ password_hash() لكلمات المرور [حرج]
✅ HTTPS مفعّل (SSL Certificate) [حرج]
✅ إخفاء رسائل الأخطاء (display_errors = 0) [عالي]
✅ Server-Side Validation على كل Input [حرج]
✅ فحص الصلاحيات في كل صفحة محمية [حرج]
✅ Session Timeout محدد (30 دقيقة)
✅ حماية File Upload (نوع + حجم + امتداد) [حرج]
✅ Security Headers (X-Frame-Options, etc.) [عالي]
✅ حماية ملفات Config (خارج public folder)
✅ حذف ملفات التست (test.php, phpinfo.php)
✅ Backup تلقائي يومي للداتابيس
✅ Rate Limiting على Login (منع Brute Force)