📚 محتوى دفاعي للمطوّرين.
المبادئ الأساسية
1) لا تثق بأي مدخل
تحقّق وطهّر كل ما يأتي من المستخدم (نماذج، روابط، رؤوس، ملفّات).
if (typeof email !== "string" || !email.includes("@")) {
throw new Error("بريد غير صالح");
}
2) أقلّ صلاحية
امنح كل مكوّن أقلّ وصول يحتاجه فقط.
3) دفاع متعدّد الطبقات
لا تعتمد على حماية واحدة؛ اجمع التحقّق + التهريب + الصلاحيات.
4) فشل بأمان
عند الخطأ، ارفض الوصول افتراضيًّا ولا تكشف تفاصيل داخلية.
ممارسات عملية
- استعلامات معاملية (ضدّ الحقن).
- تهريب المخرجات (ضدّ XSS).
- تشفير البيانات الحسّاسة.
- لا تضع أسرارًا في الكود (الدرس القادم).
- حدّث الاعتماديات وافحصها.
مراجعة الكود والاختبار
- راجعات أمنية للكود.
- اختبارات تشمل حالات الإساءة (abuse cases).
- تحليل ساكن (linters أمنية).
💡 الأمان ليس ميزة تُضاف لاحقًا — ابنِه في الكود من البداية (Security by Design).
🎯 التالي: إدارة الأسرار.