ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น
ThaiSEOBoard.comพัฒนาเว็บไซต์Programmingสอบถามเรื่องแบบฟอร์มที่ ป้องกันการ hack หน่อยครับ
« หน้าที่แล้ว ต่อไป »
หน้า: [1]   ลงล่าง
พิมพ์
ผู้เขียน หัวข้อ: สอบถามเรื่องแบบฟอร์มที่ ป้องกันการ hack หน่อยครับ  (อ่าน 1309 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
ittirit500
Newbie
*

พลังน้ำใจ: 2
ออฟไลน์ ออฟไลน์

กระทู้: 53



ดูรายละเอียด เว็บไซต์
« เมื่อ: 28 เมษายน 2011, 17:52:23 »
คือ ลูกค้าให้ผมลองเทส บัคเว็บด้วยโปรแกรม acunetix ครับ
ปรากฎว่ามันทะลุมายิงแบบฟอร์มผมได้ กระจายเลย (แบบฟอร์มหน้า ติดต่อ contact ทั่วๆไปน่ะครับ)

ผมใช้วิธีที่ว่า
1.หน้า contact มันเช็คด้วย javascript ถ้าค่าว่างก้กดไปต่อไม่ได้
2.หน้า ส่งข้อความ ผมเช็คค่า ว่างของ ฟอร์มชื่อ เบอร์ติดต่อ ถ้าว่างก็ ทำการ query send mail ไม่ได้  (สงสัยมัน สร้างค่าตัวแปรปลอมยิงมา)

อยากรู้ว่าปกติ ป้องการการยิงข้อความยังไงกันเหรอครับ  เพราะส่งค่าตัวแปรแบบ POST เหรอ หรือไม่ได้เข้า md5 หรือว่า ต้องเช็คเวลา ip ส่งข้อความ  มึนไปหมด รบกวนชี้แนะด้วยจ้าาา  wanwan023
บันทึกการเข้า
Monocreative.co.th รับทำเว็บ ไซต์  เว็บดีไซน์ เว็บโปรแกรม พรีเซ็นเทชั่น งานกราฟฟิคครับ
wharnjung
ก๊วนเสียว
*

พลังน้ำใจ: 171
ออฟไลน์ ออฟไลน์

กระทู้: 445



ดูรายละเอียด เว็บไซต์
« ตอบ #1 เมื่อ: 28 เมษายน 2011, 17:55:26 »
ของหวานใช้วิธีเก็บ ไอพีเข้าฐานข้อมูลก่อนอะคะแล้วค่อยเขียนมันเช็คไอพีก่อนว่าซ้ำหรือไม่ถ้าซ้ำก็จะส่งไม่ได้ประมานนี้นะ
บันทึกการเข้า
gilbert
สมุนแก๊งเสียว
*

พลังน้ำใจ: 587
ออฟไลน์ ออฟไลน์

กระทู้: 713



ดูรายละเอียด
« ตอบ #2 เมื่อ: 28 เมษายน 2011, 19:42:19 »
มีทางเดียวครับ คือ ส่งไป validate ที่หน้า php ครับ ถ้าใช้ javascript โดนยิงกระจุยครับ

อีกอย่างครับใช้ CAPCHA ครับ เพราะหน้า from ไม่ได้มีการ login ก่อน
« แก้ไขครั้งสุดท้าย: 28 เมษายน 2011, 19:46:25 โดย gilbert » บันทึกการเข้า
lucationjj
สมุนแก๊งเสียว
*

พลังน้ำใจ: 46
ออฟไลน์ ออฟไลน์

กระทู้: 888



ดูรายละเอียด
« ตอบ #3 เมื่อ: 28 เมษายน 2011, 19:45:36 »
ก็ใช้ php ดักบัคไว้
บันทึกการเข้า

วันนี้มี ไม่มีบล็อก index แล้ว
picharnan
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 90
ออฟไลน์ ออฟไลน์

กระทู้: 1,400



ดูรายละเอียด
« ตอบ #4 เมื่อ: 28 เมษายน 2011, 20:10:39 »
อยากรู้วิธีด้วยคน  ช่วยดันครับ
บันทึกการเข้า
hero-nana
ก๊วนเสียว
*

พลังน้ำใจ: 52
ออฟไลน์ ออฟไลน์

กระทู้: 207



ดูรายละเอียด
« ตอบ #5 เมื่อ: 28 เมษายน 2011, 20:26:12 »
captcha secure image ช่วยได้
บันทึกการเข้า
รับเขียนโปรแกรม magento module, แก้ไข theme หรืออื่นๆ สนใจ pm มาครับ
Pang25441
ก๊วนเสียว
*

พลังน้ำใจ: 31
ออฟไลน์ ออฟไลน์

กระทู้: 269



ดูรายละเอียด
« ตอบ #6 เมื่อ: 28 เมษายน 2011, 20:37:53 »
อยากรู้ด้วยคน wanwan012

เช็ค Referrer จะใช้ได้รึเปล่าครับ??
บันทึกการเข้า
Click!!
ปรวชฺชานุปสฺสิสฺส นิจฺจํ อุชฺฌานสญฺญิโน
อาสวา ตสฺส วฑฺฒนฺติ อารา โส อาสวกฺขยา

คนที่เห็นแต่โทษผู้อื่น คอยแต่เพ่งโทษนั้น
อาสวะก็เพิ่มพูน เขายังไกลจากความสิ้นอาสวะ
[ขุ.ธ. ๒๕/๔๙]
gam_55
Verified Seller
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 319
ออฟไลน์ ออฟไลน์

กระทู้: 1,203



ดูรายละเอียด
« ตอบ #7 เมื่อ: 28 เมษายน 2011, 20:53:44 »
ใช้ CAPCHA  ก้อได้ค่ะ
ช่วยได้ระดับนึงอยู่แล้วค่ะ
บันทึกการเข้า
รับทำเว็บไซต์
ittirit500
Newbie
*

พลังน้ำใจ: 2
ออฟไลน์ ออฟไลน์

กระทู้: 53



ดูรายละเอียด เว็บไซต์
« ตอบ #8 เมื่อ: 28 เมษายน 2011, 21:52:38 »
ใช้แคปช่า มันไม่เหมือนการดัก ด้วย if(ถ้าตัวแปรเป็นค่าว่าง) { ไม่ให้ทำ } ถ้าไม่ว่าง (ทำได้)   เหรอครับ

ถ้าเราใช้ จำกัดตัวอักษร ประมาณว่า  ทุกช่องต้องเกิน 5 ตัว  จะเวิรค์ไหม  อยากได้หลายๆวิธีครับ พอดี ทำไว้หลายเว็บด้วย  :'(   ตามแก้ให้หมด

ผมไปเจอ http://www.thaicreate.com/php/forum/057014.html    จะดีไหมครับ
บันทึกการเข้า
Monocreative.co.th รับทำเว็บ ไซต์  เว็บดีไซน์ เว็บโปรแกรม พรีเซ็นเทชั่น งานกราฟฟิคครับ
Pang25441
ก๊วนเสียว
*

พลังน้ำใจ: 31
ออฟไลน์ ออฟไลน์

กระทู้: 269



ดูรายละเอียด
« ตอบ #9 เมื่อ: 29 เมษายน 2011, 03:02:14 »
 Tongue อ่าวแล้วที่ทำนี่ ดักที่ java แล้วไม่ได้ มาตรวจที่ php เหรอครับ
รับ post มาแล้ว ใส่ฐานข้อมูลเลยเหรอ?

ถ้าเป็นอย่างนั้น
แนะนำ ให้เช็คด้วย isset($_POST['xxx']) และ strlen($_POST['xxx'])
ตามด้วย การใช้ Regular expression มาตรวสอบรูปแบบของข้อมูล ที่มีรูปแบบที่ชัดเจน เช่น e mail

ก่อนทำการเก็บข้อมูล!
บันทึกการเข้า
Click!!
ปรวชฺชานุปสฺสิสฺส นิจฺจํ อุชฺฌานสญฺญิโน
อาสวา ตสฺส วฑฺฒนฺติ อารา โส อาสวกฺขยา

คนที่เห็นแต่โทษผู้อื่น คอยแต่เพ่งโทษนั้น
อาสวะก็เพิ่มพูน เขายังไกลจากความสิ้นอาสวะ
[ขุ.ธ. ๒๕/๔๙]
kobkung
Verified Seller
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 103
ออฟไลน์ ออฟไลน์

กระทู้: 1,312



ดูรายละเอียด เว็บไซต์
« ตอบ #10 เมื่อ: 29 เมษายน 2011, 05:12:25 »
เช็ค refer ก็ดี แต่ถ้าโดนปลอม header ก็ผ่าน ไม่รู้โปรแกรมเขาทำได้ป่าว
เช็ค captcha ถ้าโดน decaptcha ก็หลุด หาตัวแข็งหน่อย
เช็ค ip ซ้ำ ลงแล้วไม่ให้ลงภายในกี่นาที อันนี้เปลืองเบสหน่อย

ดักค่า javascript เขาไว้ลูกค้าใช้สะดวก secure มันต่ำมากๆ แค่ปลด enable javascript ใน browser ก็หลุดแล้ว
แนวๆ พวกกัน copy รูป กันคลิ้กขวาแหละ

เวลารับค่า post มาใช้พวก html special หรือ อื่นๆ ที่ไว้ดัก injection ให้ครบ ลองหาอ่านใน google
จะมีพวกฝรั่งเขาสอนวิธีรับค่าแบบปึ้กๆ กัน injection
บันทึกการเข้า
เราเป็นบริษัท รับทำเว็บไซต์ แก้เว็บเดิม เขียน Php+Mysql+jQuery+css+bootstrap  งานตามสั่ง ประสบการณ์ จะ 19 ปี ละจ้า
Smilephp.com รับทำเว็บไซต์บริษัท e-commerce + ระบบชำระเงิน paypal,ธนาคาร  เว็บบริษัท เว็บขายของ ระบบจอง เช่า เขียน PHP ได้ทุกแนว  ช่วงนี้เน้นรับงาน ERP ระบบเอกสารบริษัท ,บัญชี ,  Barcode, Stock , Warehouse , Logistic ติดต่อ 086-364-5262

งดตอบคนทำเว็บนอกลู่นอกทาง ไม่ทำเว็บ WP ปั่นแชร์ เว็บประมูล สคริปปั่นใดๆ ไม่ทำเว็บบอลและพ
หน้า: [1]   ขึ้นบน
พิมพ์
« หน้าที่แล้ว ต่อไป »
กระโดดไป: