|
หัวข้อ: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: id09318 ที่ 15 มีนาคม 2014, 19:30:27 (http://image.ohozaa.com/i/7fb/xJtShf.png) (http://image.ohozaa.com/i/628/9TRlFE.png) โค๊ด: function dub($id,$table,$value){หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: Jonathanz ที่ 15 มีนาคม 2014, 19:37:01 อย่างง่ายๆก่อนเลยก็ใส่
$value = mysql_real_escape_string($value); ก่อนบรรทัดที่ 28 หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: smapan ที่ 15 มีนาคม 2014, 19:37:54 กรอง
$table = mysql_real_escape_string($table); $id = mysql_real_escape_string($id); $value = mysql_real_escape_string($value); ให้หมดครับ หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: id09318 ที่ 15 มีนาคม 2014, 19:46:29 กรอง $table = mysql_real_escape_string($table); $id = mysql_real_escape_string($id); $value = mysql_real_escape_string($value); ให้หมดครับ ขอบคุณมากครับ :wanwan002: หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: id09318 ที่ 15 มีนาคม 2014, 19:58:30 หวังว่าจะปลอดภัยนะครับ เมื่อเช้านี้โดนยับเลย!
หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: goldxp ที่ 15 มีนาคม 2014, 21:21:59 ถ้า db เป็น mssql อาจจะต้องใช้
$s = str_replace("'","''",$s); หรือ $s = str_replace("'","",$s); แทน mysql_real_escape_string ครับ หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: feee ที่ 15 มีนาคม 2014, 23:57:54 ท่านใช้ db ของอะไรหรอครับ
ตัวอย่างวิธีป้องกัน SQL Injection บน PHP และ MySQLi ครับ ลองปรับใช้ดูครับ www.amplysoft.com/knowledge/prevent-sql-injection-php-mysqli.html (http://www.amplysoft.com/knowledge/prevent-sql-injection-php-mysqli.html) หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: konkonkan ที่ 19 มีนาคม 2014, 09:37:37 ขอถามเพิ่มเติมจากเจ้าของกระทู้นะครับ
เราสามารถใช้คำสั่ง addslashes แทนการใช้ mysql_real_escape_string ได้หรือเปล่าครับ แล้ว 2 คำสั่งนี้มันต่างกันยังไงหรือครับ หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: iak1 ที่ 19 มีนาคม 2014, 10:15:22 เพิ่มเติมให้ครับสำหรับคนชอบอ่านเรื่อง security :wanwan003: http://basic-hack.blogspot.com/2012/06/sql-injection.html หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: ardencod3 ที่ 19 มีนาคม 2014, 14:05:09 ผมว่าควรเขียนจาก framework สักตัวจะดีกว่าการเขียนเองทั้งหมด โค้ตที่ได้มันจะเป็นมาตรฐานกว่า ศุึกษาหน่อย อนาคตจะไม่เหนื่อย
หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: id09318 ที่ 26 มีนาคม 2014, 08:22:57 ไม่ทันแล้วครับตอนนี้โดน hack หมดละ เข้ามาลบข้อมูล เข้ามาลบดาต้าเบสผมหมดเลย ลง windows ใหม่ละครับ :P
ข้อมูลไปหมดละครับ ท้อละ หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: necrotorture ที่ 26 มีนาคม 2014, 09:05:07 เก็บไว้เป็นประสบการณ์ครับ อย่าท้อ :wanwan003:
หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: ballalistit ที่ 26 มีนาคม 2014, 10:18:59 หัด Framework อีกเสียงครับ ผมเริ่มต้นกับ CI ใช้งานค่อนข้างง่าย มี helper เยอะครับ สู้ ๆ ครับ
หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: iCeEffecT ที่ 26 มีนาคม 2014, 10:22:50 รู้สึกว่า mysql_real_escape_string กำลังจะเลิกใช้งานนะครับ ยังไงรอผู้รู้มาตอบครับ
หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: buy high pr domain ที่ 26 มีนาคม 2014, 13:15:01 โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด
แย่เลย :P หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: ~บอล~ ที่ 26 มีนาคม 2014, 13:17:34 ลองใช้ .htaccess ดูครับ
หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: CopperCrew ที่ 26 มีนาคม 2014, 13:39:18 ช่วงนี้อิหร่านมาสอยเวบไทยกระจุยไปหลายแห่ง ต้องคอยupdateปิดช่องโหว่ละครับ :wanwan004: หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: id09318 ที่ 27 มีนาคม 2014, 12:23:26 โดนลบข้อมูลไปต่อหน้าต่อตาเลยครับ ทำไรไม่ได้นอกจากปิดเครื่องหนีมัน หลังจากปิดแล้วเปิดขึ้นมา ปากฏว่ามันก็สายไปแล้วครับ
ก่อนหน้านี้มัน hack เข้ามาปิด เซอวิส หลายตัว ผมก็งงๆ เซอวิสผมปิดเองได้ไง ผมเริ่มสังเกตุ มันก็เริ่มชักจะยังไงๆล่ะ เซอวิส ไฟวอล เซอวิสSQL ปิดเอง ปิดต่อหน้าต่อตาเลย ผมใช้เครื่องอยู่ปิดเฉยๆเลย ผมก็งง พอมาช่วงตอนเย็น มันจัดหนัก ลบข้อมูลทีละโฟลเด้อๆ ลบดาต้าเบสออกเป็นก้อนๆ สุดท้ายมันก็สายเกินที่จะแก้ครับ ( ผมขอฝากเป็นอุทาหรไว้ด้วยนะครับ ถ้าใครโดนHacker เจาะเข้ามาโดยที่เราไม่ทราบว่า hack เข้ามาผ่านช่องโหว่ไหน ให้รีบแก้ตั้งแต่ต้นๆ และให้ผู้มีความรู้ทางด้านนี้หาช่องโหว่แล้วปิดมันให้มิดชะก่อนมันจะสายเกินไป ( ของผมมันHackภายในวันเดียว ไปหมดเลยครับ ) ) หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: mikeyx ที่ 27 มีนาคม 2014, 13:31:56 Hack มา PC ส่วนตัวหรอครับ
หรือ Server หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: id09318 ที่ 29 มีนาคม 2014, 19:06:14 หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: ThaNaButS ที่ 29 มีนาคม 2014, 21:20:24 อย่าลืมดูล็อกไฟล์ด้วยนะครับว่าแฮกเกอร์แอบใส่อะไรไว้หรือเปล่า
ผมเคยโดน sql injection เข้ามาทางหน้าจัดการเว็บไซต์ และมันแอบเอาสคริปสำหรับไว้แฮกมาใส่ด้วยครับ แต่โชคดีที่มันยังไม่ลบฐานข้อมูล หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: dekmv ที่ 29 มีนาคม 2014, 21:26:45 รู้สึกว่า mysql_real_escape_string กำลังจะเลิกใช้งานนะครับ ยังไงรอผู้รู้มาตอบครับ ได้ยินมาเหมือนกันครับ ถ้าชอบเขียน ลองดู PDO SQL ครับ หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: seook ที่ 30 มีนาคม 2014, 01:39:44 น่ากลัวมากเลย
หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: iLhay ที่ 30 มีนาคม 2014, 01:46:05 ใช้ prepared statement ครับ
หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: Bangkokboy ที่ 30 มีนาคม 2014, 06:36:52 ใช้ Windows บน Server เหรอครับ ? Windows อะไรบอกได้มั้ยครับ :wanwan004:
สู้ ๆ ครับ.. หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: [M]-ammothz ที่ 30 มีนาคม 2014, 10:52:12 windows server xxxx ไงครับ มีเยอะแยะไป เว็บเซิฟเวอร์ไม่ได้มีแค่linux อย่างเดียวน่ะครับ
หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: NightClub ที่ 30 มีนาคม 2014, 12:01:22 ลองใช้ strlen ดูสิครับ ง่ายกว่าที่คิด
strlen เป็นคำสั่งเช็คจำนวนตัวอักษร เช่น $sql = "select * from xxx where id =1" เราจะนับได้ 29 ตัวอักษร หาก id เปลี่ยนเป็น 2000 ก็จะได้ 32 ตัวอักษร ก็จะได้ช่วงตัวอักษรไม่เกิน 32 ก็เขียนเป็น if(strlen($sql) > 32){ exit; } ตัดจบการทำงานมันเลย หากมี id หลักหมื่นก็เพิ่มเอา เป็น 33 34 หรือจะใช้แบบ id=$id เช็ค strlen $id ไม่เกิน 4 ก็ได้ครับ หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: id09318 ที่ 30 มีนาคม 2014, 13:06:05 ใช้ Windows บน Server เหรอครับ ? Windows อะไรบอกได้มั้ยครับ :wanwan004: server 2008 ครับสู้ ๆ ครับ.. หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: id09318 ที่ 30 มีนาคม 2014, 13:08:05 ขอฝากไว้เป็นอุทาหรครับ ( ถ้าเจอแบบนี้ให้รีบโดยทันที ช้าแม้นาทีเดียว เกลี้ยงแน่นอนครับ ) :P
หัวข้อ: Re: ขอวิธีปิดช่องโหว่ เว็บของผมหน่อยครับ โดน SQL Injection เข้ามาแฮคข้อมูลไปหมด เริ่มหัวข้อโดย: LIEWnetwork ที่ 30 มีนาคม 2014, 17:12:17 มีใครใช้ zend framework ไหมครับ
|