الأمان في SQL (SQL Security)

// كود خطير جداً - عرضة لـ SQL Injection
$username = $_POST['username'];
$password = $_POST['password'];

$query = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";
$result = mysqli_query($conn, $query);

-- المهاجم يدخل:
username: admin' OR '1'='1
password: anything

-- الاستعلام يصبح:
SELECT * FROM users WHERE username = 'admin' OR '1'='1' AND password = 'anything'

-- النتيجة: الشرط دائماً صحيح، المهاجم يدخل بدون كلمة مرور!

// كود آمن تماماً
$username = $_POST['username'];
$password = $_POST['password'];

// استخدام Prepared Statement
$stmt = $conn->prepare("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->bind_param("ss", $username, $password);
$stmt->execute();
$result = $stmt->get_result();

// استخدام PDO (الطريقة الموصى بها)
$username = $_POST['username'];
$password = $_POST['password'];

$stmt = $pdo->prepare("SELECT * FROM users WHERE username = :username AND password = :password");
$stmt->execute([
    'username' => $username,
    'password' => $password
]);
$user = $stmt->fetch();

-- إنشاء مستخدم جديد
CREATE USER 'app_user'@'localhost' IDENTIFIED BY 'strong_password_123!';

-- إنشاء مستخدم يمكنه الاتصال من أي مكان
CREATE USER 'remote_user'@'%' IDENTIFIED BY 'another_strong_password';

-- إنشاء مستخدم بدون كلمة مرور (غير موصى به)
CREATE USER 'test_user'@'localhost';

-- منح صلاحية SELECT فقط على جدول معين
GRANT SELECT ON company_db.employees TO 'app_user'@'localhost';

-- منح صلاحيات SELECT و INSERT و UPDATE على جدول
GRANT SELECT, INSERT, UPDATE ON company_db.orders TO 'app_user'@'localhost';

-- منح جميع الصلاحيات على قاعدة بيانات معينة
GRANT ALL PRIVILEGES ON company_db.* TO 'admin_user'@'localhost';

-- منح صلاحية إنشاء جداول
GRANT CREATE ON company_db.* TO 'developer'@'localhost';

-- منح صلاحية تنفيذ الإجراءات المخزنة
GRANT EXECUTE ON company_db.* TO 'app_user'@'localhost';

-- تطبيق التغييرات
FLUSH PRIVILEGES;

-- سحب صلاحية DELETE
REVOKE DELETE ON company_db.employees FROM 'app_user'@'localhost';

-- سحب جميع الصلاحيات
REVOKE ALL PRIVILEGES ON company_db.* FROM 'app_user'@'localhost';

-- تطبيق التغييرات
FLUSH PRIVILEGES;

-- عرض صلاحيات مستخدم معين
SHOW GRANTS FOR 'app_user'@'localhost';

-- عرض صلاحيات المستخدم الحالي
SHOW GRANTS FOR CURRENT_USER();

-- عرض جميع المستخدمين
SELECT User, Host FROM mysql.user;

-- حذف مستخدم
DROP USER 'app_user'@'localhost';

-- حذف آمن
DROP USER IF EXISTS 'app_user'@'localhost';

-- إنشاء أدوار مختلفة
CREATE ROLE 'app_read_only';
CREATE ROLE 'app_read_write';
CREATE ROLE 'app_admin';

-- منح صلاحيات للأدوار
GRANT SELECT ON company_db.* TO 'app_read_only';
GRANT SELECT, INSERT, UPDATE ON company_db.* TO 'app_read_write';
GRANT ALL PRIVILEGES ON company_db.* TO 'app_admin';

-- إنشاء مستخدمين
CREATE USER 'viewer'@'localhost' IDENTIFIED BY 'password1';
CREATE USER 'editor'@'localhost' IDENTIFIED BY 'password2';
CREATE USER 'admin'@'localhost' IDENTIFIED BY 'password3';

-- منح الأدوار للمستخدمين
GRANT 'app_read_only' TO 'viewer'@'localhost';
GRANT 'app_read_write' TO 'editor'@'localhost';
GRANT 'app_admin' TO 'admin'@'localhost';

-- تفعيل الأدوار افتراضياً
SET DEFAULT ROLE ALL TO 'viewer'@'localhost';
SET DEFAULT ROLE ALL TO 'editor'@'localhost';
SET DEFAULT ROLE ALL TO 'admin'@'localhost';

-- عرض الأدوار
SHOW GRANTS FOR 'viewer'@'localhost';

-- سحب دور من مستخدم
REVOKE 'app_read_only' FROM 'viewer'@'localhost';

-- حذف دور
DROP ROLE 'app_read_only';

// لا تحفظ كلمات المرور كنص عادي أبداً!

// عند التسجيل - تشفير كلمة المرور
$password = $_POST['password'];
$hashed_password = password_hash($password, PASSWORD_DEFAULT);

// حفظ في قاعدة البيانات
$stmt = $pdo->prepare("INSERT INTO users (username, password) VALUES (?, ?)");
$stmt->execute([$username, $hashed_password]);

// عند تسجيل الدخول - التحقق من كلمة المرور
$stmt = $pdo->prepare("SELECT password FROM users WHERE username = ?");
$stmt->execute([$username]);
$user = $stmt->fetch();

if (password_verify($password, $user['password'])) {
    // كلمة المرور صحيحة
    echo "تم تسجيل الدخول بنجاح";
} else {
    // كلمة المرور خاطئة
    echo "اسم المستخدم أو كلمة المرور غير صحيحة";
}

-- تشفير AES (للبيانات الحساسة)
INSERT INTO sensitive_data (user_id, credit_card)
VALUES (1, AES_ENCRYPT('1234-5678-9012-3456', 'encryption_key'));

-- فك التشفير
SELECT 
    user_id,
    AES_DECRYPT(credit_card, 'encryption_key') AS decrypted_card
FROM sensitive_data;

-- SHA2 للهاش (لا يمكن فك تشفيره)
SELECT SHA2('my_password', 256) AS hashed_password;

-- MD5 (غير موصى به - ضعيف)
SELECT MD5('text') AS md5_hash;

-- فرض SSL على مستخدم معين
CREATE USER 'secure_user'@'%' IDENTIFIED BY 'password' REQUIRE SSL;

-- أو تعديل مستخدم موجود
ALTER USER 'existing_user'@'%' REQUIRE SSL;

-- فرض شهادة محددة
ALTER USER 'user'@'%' REQUIRE X509;

// لا تحفظ بيانات الاتصال في الكود مباشرة
// استخدم ملف تكوين خارج مجلد الويب

// config.php (خارج public_html)
define('DB_HOST', 'localhost');
define('DB_USER', 'app_user');
define('DB_PASS', 'strong_password');
define('DB_NAME', 'company_db');

// أو استخدم متغيرات البيئة (الأفضل)
$db_host = getenv('DB_HOST');
$db_user = getenv('DB_USER');
$db_pass = getenv('DB_PASS');
$db_name = getenv('DB_NAME');

# نسخ احتياطي لقاعدة بيانات كاملة
mysqldump -u root -p company_db > backup_company_db.sql

# نسخ احتياطي لجدول معين
mysqldump -u root -p company_db employees > backup_employees.sql

# نسخ احتياطي لعدة قواعد بيانات
mysqldump -u root -p --databases db1 db2 db3 > backup_multiple.sql

# نسخ احتياطي لجميع قواعد البيانات
mysqldump -u root -p --all-databases > backup_all.sql

# نسخ احتياطي مضغوط
mysqldump -u root -p company_db | gzip > backup_company_db.sql.gz

# استرجاع من نسخة احتياطية
mysql -u root -p company_db < backup_company_db.sql

# استرجاع من ملف مضغوط
gunzip < backup_company_db.sql.gz | mysql -u root -p company_db

# إضافة إلى crontab
# نسخ احتياطي يومي في الساعة 2 صباحاً
0 2 * * * mysqldump -u root -pPASSWORD company_db | gzip > /backups/company_db_$(date +\%Y\%m\%d).sql.gz

# حذف النسخ الاحتياطية الأقدم من 30 يوم
0 3 * * * find /backups -name "*.sql.gz" -mtime +30 -delete

-- تفعيل سجل جميع الاستعلامات
SET GLOBAL general_log = 'ON';
SET GLOBAL general_log_file = '/var/log/mysql/general.log';

-- تفعيل سجل الاستعلامات البطيئة
SET GLOBAL slow_query_log = 'ON';
SET GLOBAL long_query_time = 2; -- الاستعلامات أبطأ من ثانيتين
SET GLOBAL slow_query_log_file = '/var/log/mysql/slow.log';

CREATE TABLE audit_log (
    log_id INT PRIMARY KEY AUTO_INCREMENT,
    user_name VARCHAR(100),
    action VARCHAR(50),
    table_name VARCHAR(100),
    record_id INT,
    ip_address VARCHAR(45),
    action_time DATETIME DEFAULT CURRENT_TIMESTAMP,
    details TEXT
);

-- استخدام Trigger لحفظ سجل تلقائي
DELIMITER //

CREATE TRIGGER audit_employee_changes
AFTER UPDATE ON employees
FOR EACH ROW
BEGIN
    INSERT INTO audit_log (user_name, action, table_name, record_id, details)
    VALUES (
        USER(),
        'UPDATE',
        'employees',
        NEW.employee_id,
        CONCAT('Changed from: ', OLD.salary, ' to: ', NEW.salary)
    );
END //

DELIMITER ;