Register Register Member Login Member Login Member Login Forgot Password ??
PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone
 

Registered : 103,830

HOME > บทความจากสมาชิก > สิ่งที่ทุกคนต้องรู้ ในการเขียนโปรแกรมด้วย PHP กับ MySQL หากไม่อยากให้ระบบที่เขียนนั้นถูก HACK ได้ !!!



 

สิ่งที่ทุกคนต้องรู้ ในการเขียนโปรแกรมด้วย PHP กับ MySQL หากไม่อยากให้ระบบที่เขียนนั้นถูก HACK ได้ !!!



ติดตามบทความล่าสุดของผู้เขียนได้ที่ phpinfo() Facebook Page



สิ่งที่ทุกคนต้องรู้ ในการเขียนโปรแกรมด้วย PHP กับ MySQL หากไม่อยากให้ระบบที่เขียนนั้นถูก HACK ได้ !!!

การเขียนโปรแกรมติดต่อกับฐานข้อมูลนั้น จะต้องมีการสั่งให้ PHP อ่านหรือเพิ่มเติมแก้ไขข้อมูลในฐานข้อมูล ซึ่งมักจะต้องเกี่ยวพันกับข้อมูลที่รับมาจากผู้ใช้ เพื่อที่จะทำการค้นหา หรือเปลี่ยนแปลงข้อมูล ซึ่งตัวอย่างที่พบเห็นได้ทั่วไป จะคล้ายๆ แบบนี้

$sql = "SELECT * FROM `member` WHERE `username` = '$_POST[username]' AND `password` = '$_POST[password]'"; $result = mysql_query($sql); if (!$result) { die(mysql_error()); } $user = mysql_fetch_array($result);

โค้ดดังกล่าวเป็นระบบ login เพื่อค้นหาบัญชีผู้ใช้ในระบบ และตรวจว่ารหัสผ่านตรงหรือไม่
หากเจอบัญชีผู้ใช้ และรหัสผ่านตรงกับที่ส่งมา ก็จะดำเนินการต่อไป

จะเห็นได้ว่า มีการรับข้อมูลจากผู้ใช้ ($_POST['username'] และ $_POST['password'])
และนำไปประกอบกับ query โดยตรง
ซึ่งโค้ดลักษณะนี้เสี่ยงต่อการกระทำที่เรียกว่า SQL Injection ครับ



มาดูกันว่า SQL Injection เป็นอย่างไร

สมมติว่าเรา login ด้วย
username: cookiephp password: 0123456789


ก็จะได้ตัวแปร $sql ที่มีค่า

SELECT * FROM `member` WHERE `username` = 'cookiephp' AND `password` = '0123456789'


ซึ่งจะไม่มีปัญหาอะไร

แต่ถ้าสมมติว่าเรา login ด้วย

username: cookiephp password: -_-'


ก็จะได้ตัวแปร $sql ที่มีค่า

SELECT * FROM `member` WHERE `username` = 'cookiephp' AND `password` = '-_-''


ซึ่งจะทำให้เกิด error แบบนี้
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''-_-''


สังเกตตรง `password` = '-_-''
กลายเป็นว่ารหัสผ่านของเราซึ่งก็คือ -_-' จะไปปิด string เสียก่อน
และทำให้ค่าของรหัสผ่านที่จะใช้เปรียบเทียบนั้นเปลี่ยนเป็น -_-
และทำให้มี ' เกินมา 1 ตัว

กรณีแบบนี้เรียกว่า SQL Injection แปลแบบบ้านๆ ได้ว่า การเสียบเข้าไปใน SQL ซึ่งในที่นี้ เราเสียบเครื่องหมาย ' เข้าไปนั่นเอง
ซึ่งในตัวอย่างนี้มีผลเสียเพียงแค่เกิด error

แต่หากเรา login ด้วย

username: cookiephp password: ' OR username = 'cookiephp' AND TRUE <> '


ก็จะได้ตัวแปร $sql ที่มีค่า

SELECT * FROM `member` WHERE `username` = 'cookiephp' AND `password` = '' OR username = 'cookiephp' AND TRUE <> ''


ซึ่งจะตรงกันข้ามกับตัวอย่างก่อนหน้านี้
คือไม่ทำให้ SQL มันผิดพลาด แต่ทำให้เป็น SQL ที่มีความหมายเปลี่ยนไป
หากมีชื่อผู้ใช้ดังกล่าวอยู่ในฐานข้อมูล แม้รหัสผ่านจะไม่ตรงก็ไม่มีผล
เพราะเงือนไขที่สองหลัง OR จะเป็นจริงเสมอ

ทำให้เราสามารถ login ในนามของใครก็ได้ เพียงแค่รู้จักชื่อผู้ใช้




วิธีป้องกัน SQL Injection

ในการเอาค่าที่รับมาจากผู้ใช้ไปรวมเป็น query นั้น
เราต้อง "escape" ค่าที่รับมาจากผู้ใช้ด้วยฟังก์ชั่นที่เหมาะสม (ซึ่งแล้วแต่ชนิดของฐานข้อมูล) ก่อนที่จะนำไปใช้

ซึ่งสำหรับ MySQL นั้นมีสองฟังก์ชั่นคือ

mysql_escape_string() และ mysql_real_escape_string()

ซึ่งแนะนำให้ใช้ตัวหลัง

ตัวอย่าง
$_POST['username'] = mysql_real_escape_string($_POST['username']); $_POST['password'] = mysql_real_escape_string($_POST['password']); $sql = "SELECT * FROM `member` WHERE `username` = '$_POST[username]' AND `password` = '$_POST[password]'";


หากเรา "escape" ค่าที่รับมาจากผู้ใช้แล้ว ต่อให้มีเครื่องหมาย ' อยู่ในค่านั้นๆ ก็จะไม่มีปัญหาอีกต่อไป

สมมติว่าเราส่งพาสเวิร์ดที่มีค่า -_-' ตามตัวอย่างก่อนหน้านี้

ก็จะได้ตัวแปร $sql ที่มีค่า

SELECT * FROM `member` WHERE `username` = 'cookiephp' AND `password` = '-_-\''


ซึ่ง \' จะไม่ทำให้ SQL ผิดเพี้ยน เพราะ MySQL จะตีความเป็นเครื่องหมาย ' ให้เป็น "ข้อมูล" ไม่ใช่ "ไวยากรณ์ ของ SQL"




มาเปลี่ยนวิธีการสร้าง query กันเถอะ

จากตัวอย่างข้างบน สามารถทำให้โค้ดกระชับขึ้นได้ด้วยการหลีกเลี่ยงการกำหนดค่าลงตัวแปรด้วยการเชื่อมต่อสตริง

ใช้การเชื่อมต่อสตริงเพื่อสร้าง SELECT query
// ไม่ต้องมีการกำหนดค่าลงตัวแปรก่อนนำไปใช้ // ลดขั้นตอนการทำงานของ PHP ลง // ประหยัดหน่วยความจำ $sql = "SELECT * FROM `member` WHERE `username` = '" . mysql_real_escape_string($_POST['username']) . "' AND `password` = '" . mysql_real_escape_string($_POST['password']) . "'";


แต่ไม่แนะนำให้ใช้!!! เพราะอ่านยาก แก้ไขยาก และเขียนผิดพลาดได้ง่าย

แนะนำให้ใช้ฟังก์ชั่น sprintf() เพื่อการแก้ไขที่สะดวกขึ้นในภายหลัง และทำให้อ่านง่ายมากขึ้นด้วย

sprintf() นั้นเป็นฟังก์ชั่นที่ใช้ "แทนที่ค่าต่างๆ ลงใน string ตามรูปแบบที่ต้องการ"

โดยมีรูปแบบการใช้ดังนี้ sprintf(รูปแบบ, ค่าแทนที่)
รูปแบบ คือ string ที่เครื่องหมาย % แล้วตามด้วยอักษรภาษาอังกฤษบางตัว เช่น %s, %d (แต่สำหรับการสร้าง query เราใช้แบบเดียวคือ %s) จะทำให้กลายเป็นจุดที่ค่าอื่นจะมาแทนที่ หากจะแสดงเครื่องหมาย % ต้องใช้ %%
ค่าแทนที่ สามารถมีได้หลายค่า

ตัวอย่างการใช้ sprintf()
echo sprintf('I am %s years old.', 10); // %s คือจุดที่จะแทนที่ด้วยค่าอื่น ในที่นี้คือ 10 จะได้ผลเป็น // I am 10 years old. echo sprintf('I have %s brothers and %s sisters.', 2, 4); // ค่าแทนที่มากกว่า 1 ค่า // I have 2 brothers and 4 sisters. echo sprintf('<div style="width: %s%%">Hello World</div>', 50); // %% จะกลายเป็น % // <div style="width: 50%">Hello World</div>


ใช้ sprintf() เพื่อสร้าง SELECT query ลองเปรียบเทียบกับการเชื่อมต่อสตริง แบบไหนอ่านง่ายกว่า?
sql = sprintf( "SELECT * FROM `member` WHERE `username` = '%' AND `password` = '%s'", mysql_real_escape_string($_POST['username']), // %s ตัวที่หนึ่ง mysql_real_escape_string($_POST['password']) // %s ตัวที่สอง );


ใช้ sprintf() เพื่อสร้าง INSERT query
$sql = sprintf( " INSERT INTO `members` (`id`, `username`, `password`, `first_name`, `last_name`) VALUES ('', '%s', '%s', '%s', '%s') ", mysql_real_escape_string($_POST['username']), // %s ตัวที่ 1 mysql_real_escape_string($_POST['password']), // %s ตัวที่ 2 mysql_real_escape_string($_POST['first_name']), // %s ตัวที่ 3 mysql_real_escape_string($_POST['last_name']) // %s ตัวที่ 4 );


ใช้ sprintf() เพื่อสร้าง UPDATE query
$sql = sprintf( " UPDATE `members` SET `username` = '%s', `password` = '%s', `first_name` = '%s', `last_name` = '%s' WHERE `id` = '%s' LIMIT 1 ", mysql_real_escape_string($_POST['username']), // %s ตัวที่ 1 mysql_real_escape_string($_POST['password']), // %s ตัวที่ 2 mysql_real_escape_string($_POST['first_name']), // %s ตัวที่ 3 mysql_real_escape_string($_POST['last_name']), // %s ตัวที่ 4 mysql_real_escape_string($_POST['id']) // %s ตัวที่ 5 );





บทความที่เกี่ยวข้อง





แหล่งข้อมูลอ้างอิง




ติดตามบทความล่าสุดของผู้เขียนได้ที่ phpinfo() Facebook Page







   
Share
Bookmark.   

  By : phpinfo()
  Article : บทความเป็นการเขียนโดยสมาชิก หากมีปัญหาเรื่องลิขสิทธิ์ กรุณาแจ้งให้ทาง webmaster ทราบด้วยครับ
  Score Rating :
  Create Date : 2013-02-17
  Download : No files
Sponsored Links
C# การเข้ารหัส User และ Password จัดเก็บลงใน Database แบบบ้านๆ
C# การเข้ารหัส User และ Password จัดเก็บลงใน Database แบบบ้านๆ
Database การเข้ารหัส user Password แบบบ้านๆ
Rating : Update : 2015-10-22 16:16:05
Android Shared Preferences : Login Username/Password (PHP/MySQL)
Android Shared Preferences : Login Username/Password (PHP/MySQL)
บทความนี้จะเป็นการเขียน Android App ประยุกต์การใช้งาน Shared Preferences กับการ Login ผ่านระบบ Database ของ MySQL ซึ่งจะใช้ PHP ทำงานในฝั่ง Web Server โดยใน Application ของ Android จะส่งค่า Username/Password ไปตรวจสอบที่ Web Server
Rating : Update : 2015-11-19 13:09:46
แสดงภาพ จับภาพ จากกล้องเว็บแคม (Webcam) ด้วย VB.Net
แสดงภาพ จับภาพ จากกล้องเว็บแคม (Webcam) ด้วย VB.Net
แสดงภาพ จับภาพ จากกล้องเว็บแคม ด้วย Visual Basic .Net 3.5
Rating : Update : 2017-05-08 13:42:23
Windows Form กับ ListView แสดงข้อมูลบน ListView ในรูปแบบ Table/Grid (VB.Net,C#)
Windows Form กับ ListView แสดงข้อมูลบน ListView ในรูปแบบ Table/Grid (VB.Net,C#)
บทความพื้นฐานเกี่ยวกับการใช้ ListView ซึ่งเป็น Control ที่ใช้สำหรับการแสดงข้อมูลในรูปแบบของ Table หรือ GridView โดยรองรับข้อมูลจากหลายๆ รูปแบบ เช่น Array, List หรือ Database
Rating : Update : 2017-03-24 17:36:53
WebSocket ตอนที่ 5 : ตัวอย่างการ รับ-ส่ง ข้อมูลแบบ เจาะจง Client หรือ User ด้วย PHP
WebSocket ตอนที่ 5 : ตัวอย่างการ รับ-ส่ง ข้อมูลแบบ เจาะจง Client หรือ User ด้วย PHP
WebSocket ตอนที่ 5 : ตัวอย่างการ รับ-ส่ง ข้อมูลแบบ เจาะจง Client หรือ User ด้วย PHP
Rating : Update : 2017-02-10 09:59:52
Windows Form App : การทำ ProgressBar แบบ Dialog ทำงานร่วมกับ BackgroundWorker (VB.Net, C#)
Windows Form App : การทำ ProgressBar แบบ Dialog ทำงานร่วมกับ BackgroundWorker (VB.Net, C#)
จะเป็นการประยุกต์ใช้งานร่วมกับ ProgressBar และ Dailog ซึ่ง Interface นี้จะเหมาะกับโปรแกรมที่ทำงานนานพอสมควร และป้องกันในขณะที่โปรแกรมกำลังทำงาน ต้องการไม่ให้ User ทำการคลิกที่ส่วนอื่น ๆ ของหน้าจอ
Rating : Update : 2017-03-25 13:27:13
Bootstrap คืออะไร จะใช้ Bootstrap กับการพัฒนาเว็บไซต์และ Application จะต้องทำอย่างไร ???
Bootstrap คืออะไร จะใช้ Bootstrap กับการพัฒนาเว็บไซต์และ Application จะต้องทำอย่างไร ???
บทความนี้เป็นพื้นฐานเกี่ยวกับ Bootstrap ซึ่งเป็น Framework ที่ไว้จัดการกับ CSS, HTML และ JavaScript ที่ดีที่สุดในขณะนี้ ได้รับความนิยมอย่างถล่มถลาย ถึงกับฝั่งกลบ Framework อื่นๆ ตายเรียบ
Rating : Update : 2017-04-16 11:27:39
ThaiCreate.Com Forum




Comunity Forum Free Web Script
Jobs Freelance Free Uploads
Free Web Hosting Free Tools

สอน PHP ผ่าน Youtube ฟรี
สอน Android การเขียนโปรแกรม Android
สอน Windows Phone การเขียนโปรแกรม Windows Phone 7 และ 8
สอน iOS การเขียนโปรแกรม iPhone, iPad
สอน Java การเขียนโปรแกรม ภาษา Java
สอน Java GUI การเขียนโปรแกรม ภาษา Java GUI
สอน JSP การเขียนโปรแกรม ภาษา Java
สอน jQuery การเขียนโปรแกรม ภาษา jQuery
สอน .Net การเขียนโปรแกรม ภาษา .Net
Free Tutorial
สอน Google Maps Api
สอน Windows Service
สอน Entity Framework
สอน Android
สอน Java เขียน Java
Java GUI Swing
สอน JSP (Web App)
iOS (iPhone,iPad)
Windows Phone
Windows Azure
Windows Store
Laravel Framework
Yii PHP Framework
สอน jQuery
สอน jQuery กับ Ajax
สอน PHP OOP (Vdo)
Ajax Tutorials
SQL Tutorials
สอน SQL (Part 2)
JavaScript Tutorial
Javascript Tips
VBScript Tutorial
VBScript Validation
Microsoft Access
MySQL Tutorials
-- Stored Procedure
MariaDB Database
SQL Server Tutorial
SQL Server 2005
SQL Server 2008
SQL Server 2012
-- Stored Procedure
Oracle Database
-- Stored Procedure
SVN (Subversion)
แนวทางการทำ SEO
ปรับแต่งเว็บให้โหลดเร็ว


สุดยอด Source Code V2.0
 

แจ้งชำระเงิน/โอนเงิน
 

Hit Link
   


Acc : thaicreate@hotmail.com










Load balance : Server 01
ThaiCreate.Com Logo
© www.ThaiCreate.Com. 2003-2017 All Rights Reserved.
ไทยครีเอทบริการ จัดทำดูแลแก้ไข Web Application ทุกรูปแบบ (PHP, .Net Application, VB.Net, C#)
for Contact Us : [Conditions Privacy Statement] ติดต่อโฆษณา 081-987-6107 , 08-9968-0655 อัตราราคา คลิกที่นี่