ต่อไป »

[MapTwoZa]

addslashes()

สามารถป้องกันได้ครับ

แต่การมีผลต่อ SQL INJECTION มันจะไม่สามารถสรุปได้ตรงๆหรอกครับ ว่าเราจะใช้อะไรกันได้ หรือไม่ได้ มันอยู่ที่ เคส SQL Cmd จริงๆครับ

แต่ addslashes() เป็น 1 ในทางเลือกการป้องกัน SQL INJECTION ที่ได้ผล ครับ

addslashes() ก็มีเคสที่โดน sql injection ได้
mysql_real_escape_string() ก็มีเคสที่ยังโดน sql injection ได้
mysql_real_escape_string php ปรับเป็น deprecated ตั้งแต่ 5.3 แล้ว current stable ปัจจุบันก็เอาออกไปแล้ว ไม่สามารถใช้งานได้อีก

prepare statement >> กันได้ 100%
prepare statement >> รับมายังไงก็ใส่ไปได้เลยไม่เสียเวลานั่ง real escape + addslash
prepare statement >> อ่าน query ได้ง่ายกว่าเยอะมากๆ

เค้าใช้ prepare statement กันหมดทั้งโลกแล้วครับ
framework ที่ทำฝั่ง model มาให้ ก็ใช้กันหมด
ทุก ORM framework เค้าก็ใช้ prepare statement กันหมด

ผมยังไม่เห็นว่า การที่ต้องไปนั่ง addslashes() ทุกครั้งที่รับ parameter มา มันน่าใช้กว่าตรงไหนเลยครับ ทำให้รำคาญซะอีก

[dekmv]

เป็นประโยชน์มากครับ ขอบคุณมากครับ 

[taokae]

แต่ก่อนตอนเด็กๆ ผมทำแบบนี้เลยครับ

โค๊ด:

foreach($_POST as $key => $value) $_POST[$key] = mysql_real_escape_string($value)

โตมาอ่าน code ตัวเองแล้วขำ  

[ฉันไม่มีตัวตน]

แต่ก่อนตอนเด็กๆ ผมทำแบบนี้เลยครับ

โค๊ด:

foreach($_POST as $key => $value) $_POST[$key] = mysql_real_escape_string($value)

โตมาอ่าน code ตัวเองแล้วขำ  

อธิบายเพิ่มที ผมเขียนแบบนี้ล่ะ อยากรู้ว่าต้องเขียนแบบไหนจึงถูกต้องครับ
สคริปผมต้องแก้ตรึมเลย เมื่อวานก็เพิ่งเปลี่ยน mysql_fetch_array เป็น mysql_fetch_assoc

ปล.คิดถูกจริงๆที่เข้ามาอ่านกระทู้นี้

เอาข้อมูลมาเพิ่มครับ
http://net.tutsplus.com/tutori...s-mysqli-which-should-you-use/

http://www.php.net/manual/en/mysqli.real-escape-string.php
http://www.php.net/manual/en/ref.pdo-mysql.php
http://www.php.net/manual/en/book.mysqli.php
http://www.php.net/manual/en/ref.pdo-mysql.php

http://www.thaicreate.com/community/php-mysql-to-mysqil.html
http://www.thaicreate.com/comm...ty/basic-mysqli-reference.html
http://www.alcaros.com/blog/index.php?topic=9

[dekmv]

สรุปว่า

1. การป้องกัน sql injection แบบเก่าๆ เลิกใช้ได้แล้วพวก mysql_real_escape_string
php เค้าเอาออกแล้วครับ (current stable version ปัจจุบันอยู่ที่ 5.5)

2. ไปใช้ MYSQL PDO/ MYSQLi prepare statement แล้ว bind parameter เอา
(ไม่ต้องนั่งกังวลอีกต่อไป รับมายังไงก็ bind ไปอย่างนั้น จบ)

อย่างโดยเร็ว ต้อนรับ PHP 5.5 

[siammbk]

จริงๆ ถ้ามอง injection จาก url ออก

แค่ดักจาก get url มันก็น่าจะจบแล้วคับ

ส่วนวิธีกรองก็มีหลายวิธีคับ

[MASTER-X]

เลิกกลัว sql i มาตั้งนานแล้ว ...

กลัวอย่างอื่นมากกว่า

[siammbk]

ผมสิโดนมากับตัวเอง injection เข้ามาลบ member ลบนั่นลบนี่

จนต้องมานั่งดูว่าเข้ามาจากอะไร เซงมากตอนข้อมูลหาย

ผมเลยยอมเสียเวลามานั่งดู พอคิด logic กันขึ้นมาได้ มันก็ทำอะไรผมไม่ได้ละ สบายใจ 

[dekmv]

ผมสิโดนมากับตัวเอง injection เข้ามาลบ member ลบนั่นลบนี่

จนต้องมานั่งดูว่าเข้ามาจากอะไร เซงมากตอนข้อมูลหาย

ผมเลยยอมเสียเวลามานั่งดู พอคิด logic กันขึ้นมาได้ มันก็ทำอะไรผมไม่ได้ละ สบายใจ 

โดนมาสดๆเลยนะครับ 

[Amdroid]

เลิกกลัว sql i มาตั้งนานแล้ว ...

กลัวอย่างอื่นมากกว่า

ก็กันเท่าที่กันได้อะครับ