ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด

id09318 · 15 มีนาคม 2014, 19:30:27

function dub($id,$table,$value){
	$sql_s = " SELECT  *  FROM  ".$table." where ".$id." = '".$value."'";
	$reslt_s= mssql_query($sql_s);
	$row_s  = mssql_fetch_array($reslt_s);	
	if(!$row_s){
		return true;
		
	}
	else{
		return false;
		
	}

Jonathanz · 15 มีนาคม 2014, 19:37:01

อย่างง่ายๆก่อนเลยก็ใส่
$value = mysql_real_escape_string($value);
ก่อนบรรทัดที่ 28

smapan · 15 มีนาคม 2014, 19:37:54

กรอง
$table = mysql_real_escape_string($table);
$id = mysql_real_escape_string($id);
$value = mysql_real_escape_string($value);

ให้หมดครับ

id09318 · 15 มีนาคม 2014, 19:46:29

อ้างถึงจาก: smapan ใน 15 มีนาคม 2014, 19:37:54
กรอง
$table = mysql_real_escape_string($table);
$id = mysql_real_escape_string($id);
$value = mysql_real_escape_string($value);

ให้หมดครับ

ขอบคุณมากครับ

id09318 · 15 มีนาคม 2014, 19:58:30

หวังว่าจะปลอดภัยนะครับ เมื่อเช้านี้โดนยับเลย!

goldxp · 15 มีนาคม 2014, 21:21:59

ถ้า db เป็น mssql อาจจะต้องใช้

$s = str_replace("'","''",$s);
หรือ
$s = str_replace("'","",$s);
แทน mysql_real_escape_string ครับ

feee · 15 มีนาคม 2014, 23:57:54

ท่านใช้ db ของอะไรหรอครับ

ตัวอย่างวิธีป้องกัน SQL Injection บน PHP และ MySQLi ครับ ลองปรับใช้ดูครับ
www.amplysoft.com/knowledge/prevent-sql-injection-php-mysqli.html

konkonkan · 19 มีนาคม 2014, 09:37:37

ขอถามเพิ่มเติมจากเจ้าของกระทู้นะครับ

เราสามารถใช้คำสั่ง addslashes แทนการใช้ mysql_real_escape_string ได้หรือเปล่าครับ
แล้ว 2 คำสั่งนี้มันต่างกันยังไงหรือครับ

iak1 · 19 มีนาคม 2014, 10:15:22

เพิ่มเติมให้ครับสำหรับคนชอบอ่านเรื่อง security

http://basic-hack.blogspot.com/2012/06/sql-injection.html

ardencod3 · 19 มีนาคม 2014, 14:05:09

ผมว่าควรเขียนจาก framework สักตัวจะดีกว่าการเขียนเองทั้งหมด โค้ตที่ได้มันจะเป็นมาตรฐานกว่า ศุึกษาหน่อย อนาคตจะไม่เหนื่อย

id09318 · 26 มีนาคม 2014, 08:22:57

ไม่ทันแล้วครับตอนนี้โดน hack หมดละ เข้ามาลบข้อมูล เข้ามาลบดาต้าเบสผมหมดเลย ลง windows ใหม่ละครับ

ข้อมูลไปหมดละครับ ท้อละ

necrotorture · 26 มีนาคม 2014, 09:05:07

เก็บไว้เป็นประสบการณ์ครับ อย่าท้อ

ballalistit · 26 มีนาคม 2014, 10:18:59

หัด Framework อีกเสียงครับ ผมเริ่มต้นกับ CI ใช้งานค่อนข้างง่าย มี helper เยอะครับ สู้ ๆ ครับ

iCeEffecT · 26 มีนาคม 2014, 10:22:50

รู้สึกว่า mysql_real_escape_string กำลังจะเลิกใช้งานนะครับ ยังไงรอผู้รู้มาตอบครับ

buy high pr domain · 26 มีนาคม 2014, 13:15:01

โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด

แย่เลย

~บอล~ · 26 มีนาคม 2014, 13:17:34

ลองใช้ .htaccess ดูครับ

CopperCrew · 26 มีนาคม 2014, 13:39:18

ช่วงนี้อิหร่านมาสอยเวบไทยกระจุยไปหลายแห่ง
ต้องคอยupdateปิดช่องโหว่ละครับ

id09318 · 27 มีนาคม 2014, 12:23:26

โดนลบข้อมูลไปต่อหน้าต่อตาเลยครับ ทำไรไม่ได้นอกจากปิดเครื่องหนีมัน หลังจากปิดแล้วเปิดขึ้นมา ปากฏว่ามันก็สายไปแล้วครับ
ก่อนหน้านี้มัน hack เข้ามาปิด เซอวิส หลายตัว ผมก็งงๆ เซอวิสผมปิดเองได้ไง ผมเริ่มสังเกตุ มันก็เริ่มชักจะยังไงๆล่ะ เซอวิส ไฟวอล เซอวิสSQL ปิดเอง ปิดต่อหน้าต่อตาเลย ผมใช้เครื่องอยู่ปิดเฉยๆเลย
ผมก็งง พอมาช่วงตอนเย็น มันจัดหนัก ลบข้อมูลทีละโฟลเด้อๆ ลบดาต้าเบสออกเป็นก้อนๆ สุดท้ายมันก็สายเกินที่จะแก้ครับ ( ผมขอฝากเป็นอุทาหรไว้ด้วยนะครับ ถ้าใครโดนHacker เจาะเข้ามาโดยที่เราไม่ทราบว่า hack เข้ามาผ่านช่องโหว่ไหน ให้รีบแก้ตั้งแต่ต้นๆ และให้ผู้มีความรู้ทางด้านนี้หาช่องโหว่แล้วปิดมันให้มิดชะก่อนมันจะสายเกินไป ( ของผมมันHackภายในวันเดียว ไปหมดเลยครับ ) )

mikeyx · 27 มีนาคม 2014, 13:31:56

Hack มา PC ส่วนตัวหรอครับ
หรือ Server

id09318 · 29 มีนาคม 2014, 19:06:14

อ้างถึงจาก: mikeyx ใน 27 มีนาคม 2014, 13:31:56
Hack มา PC ส่วนตัวหรอครับ
หรือ Server

Server ครับ

ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด

iak1