จะทำอย่างไรให้เขียน php อย่างมั่นใจในเรื่องความปลอดภัย

[nscyber]

หลายๆคนในที่นี้ผมเชื่อว่าหลายท่านสามารถเขียน php ได้คล่องสามารถสร้างสคริปขึ้นมาได้สบายๆ แต่ยังมีปัญหาเรื่องไม่ถนัดเรื่องการทำอย่างไรให้เว็บสามารถปลอดภัยได้ดี หลักๆก็ได้แค่ป้องกันแบบพื้นฐาน เช่น session hijacking,sql injection,xss,htacess และอื่นๆ  ท่านใดพอจะมีแนวทาง หรือวิธีแนะนำที่จะทำให้เว็บที่ถูกเขียนด้วย php โดยไม่ใช้ระบบ cms มาเป็นตัวขับเคลื่อน แต่ให้ความปลอดภัยพอๆกันหรือเทียบเท่ากับ cms บ้างไหมเอ่ย เช่นว่า
1.สามารถเช็คได้ว่าองค์ประกอบหลักที่คุณต้องมีคือแค่นี้หรือมาณนี้นะระบบบก็ปลอดภยระดับหนึ่งแล้ว
2.เมื่อคุณทำตามพื้นฐานตรงนี้ครบแล้วที่เหลือคุณก็ศึกษา xxx พวกนี้เป็นแนวทาง แล้วประยุกต์
3.บ้างก็ว่า htacess ป้องกันได้นเยอะ แต่บางทีการป้องกันมันเยอะจริงๆครับจนบางทีงงไปหมดว่าอะไรที่ควรมีอะไรที่ไม่ควรใช้ หรือควรมองแบบไหนแล้วใช้แบบไหน บางทีอ่านหลายๆเว็บก็เข้าใจอยู่แต่ก็มาพร้อมด้วยคำถามมากกมาย ทำไมบางทีป้องกันบางจุด แล้วเขาไปหาชื่อบอท กันที่ไหนเพื่อบันทึกลงไปให้มันกันได้ หรือชื่อการป้องกันตรงนั้นนี้กันที่ไหน
4.ถ้าจะมาจับ framework ด้วย framework  มีความปลอดภัยครอบคลุมไหมครับถ้าเขียน php ด้วย framework  ทั้งระบบ หรือก็ป้องกันแค่พื้นฐาน(หมายถึง ใช้ framework  เขียนก็ไม่ต้องมานั่งห่วงเรื่องความปลอดภัยขั้นพื้นฐานหรือป่าวเช่นเอาเวล่าไปเน้นการปิดช่องโหว่เล็กๆแทนเพราะหลักๆ framework ปิดให้หมดแล้ว ผมเข้าใจผิดหรือป่าวเอ่ย)

เพราะผมรู้ว่าการโจมตีนั้นมีมากมายเป็นภูเขา แต่ท่านใดพอมีวิธีแนะนำเพื่อให้การป้องกันนั้นครอบคลุมๆ พอๆกับมืออาชีพแล้วสามารถชี้จุดในการติดตามหรือศึกษาไปในทางที่ถูกแล้วรู้ว่าจะป้องกันอะไรและพัฒนาติดตามยังไง บ้างไหมเอ่ย

ขอบคุณทุกท่านนะครับผมเชื่อว่าจะเป็นประโยชน์ให้หลายๆท่านด้วยในการพัฒนาเว็บไซต์ในอนาคต

[goldxp]

https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project

เว็บนี้ได้ตอนไปอบรม wireless and web security ครับ
webgoat เป็นเครื่องมือเพื่อให้คนทำเว็บไซต์ได้รู้จักช่องโหว่ของระบบว่าหลักๆ มีอะไรบ้าง

ดูแล้วไม่มีทางป้องกันได้หมดครับ ตัวอย่างเช่นเขียนโปรแกรมป้องกัน php ปิดช่องโหว่หมด
แต่ hacker จัดการ sniff packet ก็สามารถดักจับ password เข้ามาใช้งานเว็บได้
หรือแม้แต่เขียนเข้ารหัสก่อนรับส่งข้อมูลเพื่อป้องการ sniff แต่ถ้ารหัสผ่านสั้นเกินไปก็สามารถใช้เครื่องมือช่วยถอดข้อมูลกลับคืนมาได้
และแม้แต่รหัสผ่านยาวเป็น 20 ตัวอักษร แต่เกิดใช้ password เดียวกันในทุก email ทุกเว็บไซต์
ถึงแม้เว็บที่สมัครไปนั้นจะไม่ใช่เว็บ hacker แต่วันหนึ่งเว็บใดเว็บหนึ่งถูก hack , password ที่เราใช้งานก็จะถูกเซฟเป็น dictionary เพื่อ brute force ได้สบายๆ
ดังนั้นสำหรับ password ที่ดีก็คือควรจะให้มีความยาวมากๆ และไม่ซ้ำกันในทุกเว็บไซต์

ดังนั้นการป้องกันก็ส่วนหนึ่งแต่ก็ต้องเผื่อโดน hack ไว้ด้วยครับ เช่นรหัสผ่านห้ามบันทึกตรงๆ และใช้ hash md5/sha1 บันทึกแทนรหัสผ่าน
แต่ hash ก็ยังไม่พอถ้ารหัสผ่านสั้นไปเพราะ hacker เค้าก็มี hash dictionary เตรียมไว้แล้ว ดังนั้นก็ต้องเพิ่ม key ผสมไปกับ password ก่อน hash ด้วยครับ

ถึงจะกันไม่ได้ 100% แต่ก็ควรวิเคราะห์ช่องทางที่จะโดน hack ได้ในด้านต่างๆ เพื่อป้องกันการโดน hack ขั้นพื้นฐาน (ที่แม้แต่เด็ก 10 ขวบก็ยังสามารถ hack ได้ง่ายๆ)
และอาจจะหาโปรแกรมมาช่วย scan อย่างเช่น https://subgraph.com/vega/documentation/Vega-Scanner/index.en.html ครับ

[smapan]

ทำไมถึงมีเงื่อนไขว่าไม่ใช้ระบบ cms มาเป็นตัวขับเคลื่อน ล่ะครับ

กำลังแนะนำพวก framework เจอเงื่อนไขนี้ หมดกัน



ถ้าเขียนเองตั้งแต่ ศูนย์ สู้ โปรแกรมเมอร์พันคน ได้ นี่ผมยอดสุดยอดเทพแห่งเทพ เลยครับ

ลองลดกำแพงลง แล้วหาเฟรมเวอร์คดีๆมาใช้ครับ

Zend Framework ก้ไม่เลวครับ

[gd,lN]

ผมใช้การ genหน้าเป็นhtmlในการแสดงผล รวมถึงการเรียกใช้ไฟล์
user แทบจะไม่ทราบไฟล์รันphpใดๆ เลย

[nscyber]

ทำไมถึงมีเงื่อนไขว่าไม่ใช้ระบบ cms มาเป็นตัวขับเคลื่อน ล่ะครับ

กำลังแนะนำพวก framework เจอเงื่อนไขนี้ หมดกัน



ถ้าเขียนเองตั้งแต่ ศูนย์ สู้ โปรแกรมเมอร์พันคน ได้ นี่ผมยอดสุดยอดเทพแห่งเทพ เลยครับ

ลองลดกำแพงลง แล้วหาเฟรมเวอร์คดีๆมาใช้ครับ

Zend Framework ก้ไม่เลวครับ

ลองแนะนำ framework ได้ครับท่านเผื่อผมจะลองเปลี่ยนบ้างฮ่าๆ ผมเองยังไม่เข้าใจ framework มากนักแนะนำได้เต็มสูบเลยครับ framework  ผมสงสัยอีกอย่างนึงคือถ้าทำสคริปขาย ลูกค้าจะตต้องติดตั้งอย่างไรไหมครับผมกลัวว่า framework  จะไม่ทำงานบนเครื่องลูกค้า(กรณีขายสคริป)

[nscyber]

ผมใช้การ genหน้าเป็นhtmlในการแสดงผล รวมถึงการเรียกใช้ไฟล์
user แทบจะไม่ทราบไฟล์รันphpใดๆ เลย

ยังไงหรอครับท่านผมยังนึกภาพไม่ออกอ่ะครับ

[nscyber]

https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project

เว็บนี้ได้ตอนไปอบรม wireless and web security ครับ
webgoat เป็นเครื่องมือเพื่อให้คนทำเว็บไซต์ได้รู้จักช่องโหว่ของระบบว่าหลักๆ มีอะไรบ้าง

ดูแล้วไม่มีทางป้องกันได้หมดครับ ตัวอย่างเช่นเขียนโปรแกรมป้องกัน php ปิดช่องโหว่หมด
แต่ hacker จัดการ sniff packet ก็สามารถดักจับ password เข้ามาใช้งานเว็บได้
หรือแม้แต่เขียนเข้ารหัสก่อนรับส่งข้อมูลเพื่อป้องการ sniff แต่ถ้ารหัสผ่านสั้นเกินไปก็สามารถใช้เครื่องมือช่วยถอดข้อมูลกลับคืนมาได้
และแม้แต่รหัสผ่านยาวเป็น 20 ตัวอักษร แต่เกิดใช้ password เดียวกันในทุก email ทุกเว็บไซต์
ถึงแม้เว็บที่สมัครไปนั้นจะไม่ใช่เว็บ hacker แต่วันหนึ่งเว็บใดเว็บหนึ่งถูก hack , password ที่เราใช้งานก็จะถูกเซฟเป็น dictionary เพื่อ brute force ได้สบายๆ
ดังนั้นสำหรับ password ที่ดีก็คือควรจะให้มีความยาวมากๆ และไม่ซ้ำกันในทุกเว็บไซต์

ดังนั้นการป้องกันก็ส่วนหนึ่งแต่ก็ต้องเผื่อโดน hack ไว้ด้วยครับ เช่นรหัสผ่านห้ามบันทึกตรงๆ และใช้ hash md5/sha1 บันทึกแทนรหัสผ่าน
แต่ hash ก็ยังไม่พอถ้ารหัสผ่านสั้นไปเพราะ hacker เค้าก็มี hash dictionary เตรียมไว้แล้ว ดังนั้นก็ต้องเพิ่ม key ผสมไปกับ password ก่อน hash ด้วยครับ

ถึงจะกันไม่ได้ 100% แต่ก็ควรวิเคราะห์ช่องทางที่จะโดน hack ได้ในด้านต่างๆ เพื่อป้องกันการโดน hack ขั้นพื้นฐาน (ที่แม้แต่เด็ก 10 ขวบก็ยังสามารถ hack ได้ง่ายๆ)
และอาจจะหาโปรแกรมมาช่วย scan อย่างเช่น https://subgraph.com/vega/documentation/Vega-Scanner/index.en.html ครับ

โอ้วขอบคุณครับพอได้ไอเดียขึ้นมาเยอะเลย

[MapTwoZa]

ลองอ่านนี่ดูครับ น่าจะครอบคลุมพวก basic security ครับ
http://www.ibm.com/developerworks/library/se-zend-security/index.html

ตามตัวอย่างเค้าใช้ ZF2 ถ้าไงก็ศึกษา ZF2 ไปในตัวเลยละกัน (ผมเชียร์ ZF2 555+)

[h8]

ไม่แน่ใจว่า จขกท หมายถึงโดยรวมๆ?  แต่ถ้าจะแนะนำควรเร่ิมใช้ SSL เป็นพิ้นฐานเว็บ  ทำให้การเขียนโปรแกรมมีความยึดหยุ่นมากขึ้น + security
หลังจากนั้นส่วนของตัวสคริปส์ใช้ Zend Framework  + ioncube zend

ส่วนตัวคิดว่า ระบบที่มีความปลอดภัย ที่สุดคือ ระบบที่ไม่เป็นสากล สำหรับการวางตำแหน่งที่ตั้งไฟล์  เป็นในแบบเฉพาะสำหรับ server นั้น
การรันที่แตกต่างจากระบบทั่วไป แต่ยังคงใช้งาน php  ได้

[nscyber]

ลองอ่านนี่ดูครับ น่าจะครอบคลุมพวก basic security ครับ
http://www.ibm.com/developerworks/library/se-zend-security/index.html

ตามตัวอย่างเค้าใช้ ZF2 ถ้าไงก็ศึกษา ZF2 ไปในตัวเลยละกัน (ผมเชียร์ ZF2 555+)

ขอบคุณครับแต่ว่าเห็นคนพูดถึง  Zend Framework  การน้อยมากเลยอ่ะครับที่เห้นออกมาเป็นหนังสือสอนเลยก็มีแต่ Yii มันต่างกันอย่างไรหรอครับ

[nscyber]

ไม่แน่ใจว่า จขกท หมายถึงโดยรวมๆ?  แต่ถ้าจะแนะนำควรเร่ิมใช้ SSL เป็นพิ้นฐานเว็บ  ทำให้การเขียนโปรแกรมมีความยึดหยุ่นมากขึ้น + security
หลังจากนั้นส่วนของตัวสคริปส์ใช้ Zend Framework  + ioncube zend

ส่วนตัวคิดว่า ระบบที่มีความปลอดภัย ที่สุดคือ ระบบที่ไม่เป็นสากล สำหรับการวางตำแหน่งที่ตั้งไฟล์  เป็นในแบบเฉพาะสำหรับ server นั้น
การรันที่แตกต่างจากระบบทั่วไป แต่ยังคงใช้งาน php  ได้

ขอบคุณมากครับเดี๋ยวผมจะลองประยุกต์ใชดูนะครับ

[MapTwoZa]

ขอบคุณครับแต่ว่าเห็นคนพูดถึง  Zend Framework  การน้อยมากเลยอ่ะครับที่เห้นออกมาเป็นหนังสือสอนเลยก็มีแต่ Yii มันต่างกันอย่างไรหรอครับ

ZF คือ framework ตัวนึง นี่แหละครับ พัฒนาโดย บริษัทที่พัฒนา PHP ให้เราใช้กันนี่แหละครับ
โดยแบ่งออกเป็น 2 version ครับ คือ ZF1 กับ ZF2 (โดยส่วนตัว ผมอยากให้ลืม ZF1 ไปเลย ตกยุคไปและ จะใช้ ZF1 ใช้ Symphony2 + ZF LIB ดีกว่า 55+ )

ซึ่ง ZF2 lib ต่างๆก็จะคล้ายๆ ZF1 แหละครับ ต่างกันตรงที่ ส่วนการทำงานหลัก เปลี่ยนจากการใช้ MVC มาเป็นการใช้ MOVE ขับเคลื่อน MVC อีกที ซึ่งมันก็ provide MOVE implementation ให้เราเอาไปใช้เองได้อีกครับ แถมมันเป็นลักษณะ Module Base ครับ คือ MVC จะอยู่อย่างโดดเดี่ยวไม่ได้อีกแล้ว ต้องมี Module สังกัด 555+

ถ้าถามว่าทำไมหนังสือของ ZF มันน้อยจัง ผมก็อยากรู้เหมือนกันครับ 555+ อาจจะเป็นเพราะว่า content มันเยอะ หรือป่าว ผมก็ไม่รู้
เอาจริงๆ ถ้าจะศึกษา ZF แนะนำว่าไปอ่านในเว็บมัน + stack overflow ดีกว่าครับ 55+


ซึ่งถ้าให้แนะนำ framework เพื่อที่จะศึกษาเอาไว้ทำงาน ผมแนะนำ Laravel มากกว่านะครับ แล้วเอา lib ZF2 ไปใช้ก็ได้
ในไทย หาคนใช้ ZF2 แทบไม่เจอ 555+

[scanfire]

เอาจริงๆ แบบให้ตอบโดนคำถามเลยนะครับ

1. ตั้งแต่เริ่มแรก ---> วิเคราะห์ กับทีมแบบมีแบบแฟนที่ดี ไปศึกษาเรื่อง ทำดีดี (TDD)
2. เลือกให้ถูก และเลือกที่ดี ----> framework เป็นคำตอบที่ดีที่สุด
3. คุณเองจะรู้เองครับ จุดอ่อน คุณคืออะไรเมื่อคุณพัฒนาไปแล้ว

จริงๆ จะไม่มีคำถามนี้เลยนะครับ ถ้างานไม่เร่งรีบ มีเวลาเยอะๆ ใส่ใจ

ผมตอบแบบง่วงนอนนะครับ

[icez]

ลองแนะนำ framework ได้ครับท่านเผื่อผมจะลองเปลี่ยนบ้างฮ่าๆ ผมเองยังไม่เข้าใจ framework มากนักแนะนำได้เต็มสูบเลยครับ framework  ผมสงสัยอีกอย่างนึงคือถ้าทำสคริปขาย ลูกค้าจะตต้องติดตั้งอย่างไรไหมครับผมกลัวว่า framework  จะไม่ทำงานบนเครื่องลูกค้า(กรณีขายสคริป)

- laravel ครับ
- การไม่ใช้ framework อันตรายกว่าเยอะครับ เพราะเวลาใช้ framework มันจะจัดการเรื่องการตั้งค่า php เองให้เกือบหมดครับ
- ถ้าใช้ framework แล้วเขียนตาม guideline ของมันก็ค่อนข้างมั่นใจได้ว่าจะไม่มีปัญหาที่ฝั่ง script ครับ
- ไม่ต้องไปสนใจไอ้ที่บอกว่า hacker ดักพาสจากภายนอกครับ ไม่ใช่ปัญหาของเรา (programmer) อันนั้นฝั่ง system ต้องไปแก้ (ด้วยการใส่ https อะไรก็ว่าไป) ครับ
- เขียน code คุมแค่ปัจจัยภายในที่คุมได้ก็พอ

[watyai]

ถ้าเลือกเรื่องความปลอดภัย แนะนำ Framework ตัวนี้ครับ
" Symfony  " <----
Drupal, phpBB3.1 เลือกใช้ Framework ตัวนี้ขับเคลื่อน
Drupal เป็น CMS ที่โดน Hack ยากมาก เค้าพิสูตรมาแล้ว

[zazane]

ถ้าเลือกเรื่องความปลอดภัย แนะนำ Framework ตัวนี้ครับ
" Symfony  " <----
Drupal, phpBB3.1 เลือกใช้ Framework ตัวนี้ขับเคลื่อน
Drupal เป็น CMS ที่โดน Hack ยากมาก เค้าพิสูตรมาแล้ว

เข้ามาเก็บค่ะ

[Jaynarol]

การใช้ framework ที่ opensource และคนนิยมมาก จะมีความปลอดภัยสูงกว่าเขียนเองทั้งหมดครับ
เพราะ source เหล่านั้นได้ผ่านการพัฒนาและรีวิวจากคนเก่งๆทั่วโลก เขาช่วยกันแจ้งช่วยกันแก้และปรับปรุงอยู่ตลอด
(แต่ต้องอาศัยการติดตามและหมั่นอัพเดทบ่อยๆด้วยครับ หากมีรูโหว่ใหญ่ๆหลุดออกมาแล้วเราไม่เคยอัพเดทก็อาจเป็นเหยื่อชั้นดีเช่นกัน)

หลักการเบื่องต้นง่ายๆที่จะให้เว็บปลอดภัยคือ
1. Validate/Filter input ทุกอย่างที่รับมาจาก user ก่อนนำไปใช้เสมอ
2. Least privilege ให้สิทธิ์ user นอยที่สุดเท่าที่ที่เปนไปได้
3. Clean output ก่อนแสดงผลให้ user เสมอ

แค่นี้ก็กันท่าโจมตีมาตรฐานได้หมดทุกท่าแล้วครับ
ส่วนท่ายากอื่นๆต้องอาศัยกันจุดอื่นๆมากกว่าครับ เช่นฝั่ง app เขียนไว้อย่างเข้ม แต่ฝั่ง network หรือ service ดันไปชักศึกเข้าบ้าน แบบนี้ยังไงก็ไม่รอดครับ
ถ้าจะเข้มจริงๆต้องไล่ตั้งแต่ Firewall, IDS, IPS, Service, Control Panel, Password Policy, AccessControl, File Permission เลยครับ

[goldxp]

การใช้ framework ที่ opensource และคนนิยมมาก จะมีความปลอดภัยสูงกว่าเขียนเองทั้งหมดครับ
เพราะ source เหล่านั้นได้ผ่านการพัฒนาและรีวิวจากคนเก่งๆทั่วโลก เขาช่วยกันแจ้งช่วยกันแก้และปรับปรุงอยู่ตลอด
(แต่ต้องอาศัยการติดตามและหมั่นอัพเดทบ่อยๆด้วยครับ หากมีรูโหว่ใหญ่ๆหลุดออกมาแล้วเราไม่เคยอัพเดทก็อาจเป็นเหยื่อชั้นดีเช่นกัน)

หลักการเบื่องต้นง่ายๆที่จะให้เว็บปลอดภัยคือ
1. Validate/Filter input ทุกอย่างที่รับมาจาก user ก่อนนำไปใช้เสมอ
2. Least privilege ให้สิทธิ์ user นอยที่สุดเท่าที่ที่เปนไปได้
3. Clean output ก่อนแสดงผลให้ user เสมอ

แค่นี้ก็กันท่าโจมตีมาตรฐานได้หมดทุกท่าแล้วครับ
ส่วนท่ายากอื่นๆต้องอาศัยกันจุดอื่นๆมากกว่าครับ เช่นฝั่ง app เขียนไว้อย่างเข้ม แต่ฝั่ง network หรือ service ดันไปชักศึกเข้าบ้าน แบบนี้ยังไงก็ไม่รอดครับ
ถ้าจะเข้มจริงๆต้องไล่ตั้งแต่ Firewall, IDS, IPS, Service, Control Panel, Password Policy, AccessControl, File Permission เลยครับ

ใช่ครับ น่าเสียดายที่ถึงจะเขียน web app ได้ดีแล้ว แต่โดนส่วนของ layer อื่นโจมตีก็เสร็จเหมือนกัน
ดังนั้นก็ให้ทำใจนิดๆ ถ้าเกิดมีคนเจาะระบบเข้ามา แต่ยังไงเราต้องทำหน้าที่รักษาความปลอดภัยในส่วนของเรา
และถ้าพอจะมีเวลาก็ต้องหามาตรการทั้งป้องกันและลดความเสียหายเมื่อมีคนเจาะระบบเข้ามาด้วยครับ

[coolsweet]

เข้ามาฟังด้วยครับผม   

[insidecom]

ไม่เคยลองใช้พวก Framework เลยครับ สงสัยได้ลองใช้บ้างแล้วครับ
มีแนวทางศึกษาไหมครับ เอาตัวไหนที่ศึกษาง่ายๆ บ้างครับ