พี่ครับ มีหลักการคร่าวๆไหมครับ ที่ทำให้ web เราไม่โดน hack แบบเช่น

มีหลายอย๋างเลย
1. รหัสผ่านผสมตัวเลขและก็ตัวหนังสือพิมพ์เล็กพิมพ์ใหญ่
2. ป้องกันแสปมด้วย  spam code
3. sever ที่คุณเลือกว่ามีโปรแกรมป้องกันหรือไม่ อย่างน้อยใน host ต้องมี  spam  และ Virus Scan
อื่นยังต้องศึกษาอีกครับผม
ส่วนโค้ดผมว่า spam code น่าจะใช้งานได้ดีอ่ะ

อ้างถึงจาก: masterdmty ใน 26 พฤษภาคม 2009, 12:10:01
มีหลายอย๋างเลย
1. รหัสผ่านผสมตัวเลขและก็ตัวหนังสือพิมพ์เล็กพิมพ์ใหญ่
2. ป้องกันแสปมด้วย  spam code
3. sever ที่คุณเลือกว่ามีโปรแกรมป้องกันหรือไม่ อย่างน้อยใน host ต้องมี  spam  และ Virus Scan
อื่นยังต้องศึกษาอีกครับผม
ส่วนโค้ดผมว่า spam code น่าจะใช้งานได้ดีอ่ะ

เพิ่มเติมนะครับ
- การ เข้ารหัสข้อมูล แบบ ssh
- เวลาเขียน seesion ควรเขียนเก็บไว้ที่ database

ลองหาอ่านพวกนี้ดูครับ

1. SQL Injection
2. XSS
3. Shells
4. RFI
5. Iframe virus
6. session hijacking
7. cookie hijacking
8. DOS (Denial Of Service) สะกดงี้ป่าวไม่แน่ใจ
9. Password hacking - Brute force, Trojan, Key logging
10. File permission
11. protocal (http - https , ftp - ftps) อ่านไว้เพื่อเลือกใช้ + sniffer
12. Flash parameter injection


ขึ้นกับใช้อะไรในเวบบ้าง (ดูจากชื่อคงพอเดาได้นะ)

มีพี่คนนึงเคยแนะนำ แกะโค้ดจาก Seditio CMS

Seditio CMS
*http://www.neocrome.net

จนถึงตอนนี้ก็ยังไม่เคยแกะซักที เอาเวลาไปทำอย่างอื่น..

อ้างถึงจาก: zZzZ ใน 26 พฤษภาคม 2009, 13:27:14
ลองหาอ่านพวกนี้ดูครับ

1. SQL Injection
2. XSS
3. Shells
4. RFI
5. Iframe virus
6. session hijacking
7. cookie hijacking
8. DOS (Denial Of Service) สะกดงี้ป่าวไม่แน่ใจ
9. Password hacking - Brute force, Trojan, Key logging
10. File permission
11. protocal (http - https , ftp - ftps) อ่านไว้เพื่อเลือกใช้ + sniffer
12. Flash parameter injection


ขึ้นกับใช้อะไรในเวบบ้าง (ดูจากชื่อคงพอเดาได้นะ)

Confirm

ผมว่านะ เดี๋ยวนี้ที่โดน hack กันง่ายที่สุดเลยคือการใช้พวก crack ware ต่างๆน่ะครับ เช่น ftp เถื่อน หรืออื่นๆ เผลอๆ windows เถื่อนก็มีการแก้ไขมาให้ส่งข้อมูลไปยัง hacker เรียบร้อยแล้ว โดนกันด้วยพวกนี้เยอะมากๆ 

ถ้าพูดถึงการเขียนโค้ดอย่างเดียว  ก็คงต้องระวังพวก sql injection เป็นหลัก
ใช้ mysql_real_escape_string (หรือที่ใกล้เคียง) เสมอเวลารับตัวแปรจาก get หรือ post มา

EX. $a = mysql_real_escape_string($_GET["a"])

รองลงมาก็การขโมย session ผ่านการแทรก tag html เข้ามา พวกนี้ลองศึกษา BB code มาช่วย
ก็จัดการได้แล้ว ไม่ยุ่งยากด้วยเพราะมีคนเขียนมาให้แล้ว

ส่วนเรื่องๆ อื่นก็ตาม Rep ด้านบนๆ แหละครับเขียนเอาไว้ละเอียดแล้ว

อ้อ นึกได้มาอีกข้อ พวกข้างบนนั่นคือการป้องกันการรีเควสเป็นส่วนใหญ่

แต่ถ้าจะให้เลิศ หรู อลังการ (บ้าพลัง)
ก็ protect ตัว souce code เราด้วยซะเลย (กรณีกันคนแอบแฮคมาแทรกโค๊ดไวรัส)

ทำสคริป check file เช่น check ขนาด  (ขนาดไฟล์นะ อย่าคิดเป็นอื่น) ของ source เทียบกับตัวที่รันอยู่ (เก็บแยกที่กันตัว source อาจใช้เป็นนามสกุลอื่นก็ได้ เวลาติดไวรัสหรือโดนแทรกหากแฮคเกอร์ไม่ทันดุละเอียดจะได้รอด)

แล้วก็ตั้งเวลา หรือจะ include ตรวจตลอดเลยก็แล้วแต่ หากขนาดเปลี่ยน (ไม่เท่ากัน) ก็เอาตัว source มาทับตัวรันจริง

ไม่เชิงเกี่ยวกับคำถามกระทู้นี้เท่าไหร่หรอกครับ 55 

มีหลายวิธี เป็นต้นว่า ไม่ควรใช้ของฟรี 

้ึความรู้ทั้งนั้น

ต้อง bookmark ซะแล้ว