ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด

ThaNaButS · 29 มีนาคม 2014, 21:20:24

อย่าลืมดูล็อกไฟล์ด้วยนะครับว่าแฮกเกอร์แอบใส่อะไรไว้หรือเปล่า

ผมเคยโดน sql injection เข้ามาทางหน้าจัดการเว็บไซต์ และมันแอบเอาสคริปสำหรับไว้แฮกมาใส่ด้วยครับ แต่โชคดีที่มันยังไม่ลบฐานข้อมูล

dekmv · 29 มีนาคม 2014, 21:26:45

อ้างถึงจาก: iCeEffecT ใน 26 มีนาคม 2014, 10:22:50
รู้สึกว่า mysql_real_escape_string กำลังจะเลิกใช้งานนะครับ ยังไงรอผู้รู้มาตอบครับ

ได้ยินมาเหมือนกันครับ ถ้าชอบเขียน ลองดู PDO SQL ครับ

seook · 30 มีนาคม 2014, 01:39:44

น่ากลัวมากเลย

iLhay · 30 มีนาคม 2014, 01:46:05

ใช้ prepared statement ครับ

Bangkokboy · 30 มีนาคม 2014, 06:36:52

ใช้ Windows บน Server เหรอครับ ? Windows อะไรบอกได้มั้ยครับ

สู้ ๆ ครับ..

[M]-ammothz · 30 มีนาคม 2014, 10:52:12

windows server xxxx ไงครับ มีเยอะแยะไป เว็บเซิฟเวอร์ไม่ได้มีแค่linux อย่างเดียวน่ะครับ

NightClub · 30 มีนาคม 2014, 12:01:22

ลองใช้ strlen ดูสิครับ ง่ายกว่าที่คิด

strlen เป็นคำสั่งเช็คจำนวนตัวอักษร

เช่น

$sql = "select * from xxx where id =1"

เราจะนับได้ 29 ตัวอักษร หาก id เปลี่ยนเป็น 2000 ก็จะได้ 32 ตัวอักษร

ก็จะได้ช่วงตัวอักษรไม่เกิน 32

ก็เขียนเป็น
if(strlen($sql) > 32){ exit; }

ตัดจบการทำงานมันเลย

หากมี id หลักหมื่นก็เพิ่มเอา เป็น 33 34

หรือจะใช้แบบ id=$id
เช็ค strlen $id ไม่เกิน 4 ก็ได้ครับ

id09318 · 30 มีนาคม 2014, 13:06:05

อ้างถึงจาก: Bangkokboy ใน 30 มีนาคม 2014, 06:36:52
ใช้ Windows บน Server เหรอครับ ? Windows อะไรบอกได้มั้ยครับ

สู้ ๆ ครับ..

server 2008 ครับ

id09318 · 30 มีนาคม 2014, 13:08:05

ขอฝากไว้เป็นอุทาหรครับ ( ถ้าเจอแบบนี้ให้รีบโดยทันที ช้าแม้นาทีเดียว เกลี้ยงแน่นอนครับ )

LIEWnetwork · 30 มีนาคม 2014, 17:12:17

มีใครใช้ zend framework ไหมครับ