Register Register Member Login Member Login Member Login Forgot Password ??
PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone
 

Registered : 105,506

HOME > บทความจากสมาชิก > สิ่งที่ทุกคนต้องรู้ ในการเขียนโปรแกรมด้วย PHP กับ MySQL หากไม่อยากให้ระบบที่เขียนนั้นถูก HACK ได้ !!!


 
VPS  250 ҷ͹

สิ่งที่ทุกคนต้องรู้ ในการเขียนโปรแกรมด้วย PHP กับ MySQL หากไม่อยากให้ระบบที่เขียนนั้นถูก HACK ได้ !!!



ติดตามบทความล่าสุดของผู้เขียนได้ที่ phpinfo() Facebook Page



สิ่งที่ทุกคนต้องรู้ ในการเขียนโปรแกรมด้วย PHP กับ MySQL หากไม่อยากให้ระบบที่เขียนนั้นถูก HACK ได้ !!!

การเขียนโปรแกรมติดต่อกับฐานข้อมูลนั้น จะต้องมีการสั่งให้ PHP อ่านหรือเพิ่มเติมแก้ไขข้อมูลในฐานข้อมูล ซึ่งมักจะต้องเกี่ยวพันกับข้อมูลที่รับมาจากผู้ใช้ เพื่อที่จะทำการค้นหา หรือเปลี่ยนแปลงข้อมูล ซึ่งตัวอย่างที่พบเห็นได้ทั่วไป จะคล้ายๆ แบบนี้

$sql = "SELECT * FROM `member` WHERE `username` = '$_POST[username]' AND `password` = '$_POST[password]'"; $result = mysql_query($sql); if (!$result) { die(mysql_error()); } $user = mysql_fetch_array($result);

โค้ดดังกล่าวเป็นระบบ login เพื่อค้นหาบัญชีผู้ใช้ในระบบ และตรวจว่ารหัสผ่านตรงหรือไม่
หากเจอบัญชีผู้ใช้ และรหัสผ่านตรงกับที่ส่งมา ก็จะดำเนินการต่อไป

จะเห็นได้ว่า มีการรับข้อมูลจากผู้ใช้ ($_POST['username'] และ $_POST['password'])
และนำไปประกอบกับ query โดยตรง
ซึ่งโค้ดลักษณะนี้เสี่ยงต่อการกระทำที่เรียกว่า SQL Injection ครับ



มาดูกันว่า SQL Injection เป็นอย่างไร

สมมติว่าเรา login ด้วย
username: cookiephp password: 0123456789


ก็จะได้ตัวแปร $sql ที่มีค่า

SELECT * FROM `member` WHERE `username` = 'cookiephp' AND `password` = '0123456789'


ซึ่งจะไม่มีปัญหาอะไร

แต่ถ้าสมมติว่าเรา login ด้วย

username: cookiephp password: -_-'


ก็จะได้ตัวแปร $sql ที่มีค่า

SELECT * FROM `member` WHERE `username` = 'cookiephp' AND `password` = '-_-''


ซึ่งจะทำให้เกิด error แบบนี้
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''-_-''


สังเกตตรง `password` = '-_-''
กลายเป็นว่ารหัสผ่านของเราซึ่งก็คือ -_-' จะไปปิด string เสียก่อน
และทำให้ค่าของรหัสผ่านที่จะใช้เปรียบเทียบนั้นเปลี่ยนเป็น -_-
และทำให้มี ' เกินมา 1 ตัว

กรณีแบบนี้เรียกว่า SQL Injection แปลแบบบ้านๆ ได้ว่า การเสียบเข้าไปใน SQL ซึ่งในที่นี้ เราเสียบเครื่องหมาย ' เข้าไปนั่นเอง
ซึ่งในตัวอย่างนี้มีผลเสียเพียงแค่เกิด error

แต่หากเรา login ด้วย

username: cookiephp password: ' OR username = 'cookiephp' AND TRUE <> '


ก็จะได้ตัวแปร $sql ที่มีค่า

SELECT * FROM `member` WHERE `username` = 'cookiephp' AND `password` = '' OR username = 'cookiephp' AND TRUE <> ''


ซึ่งจะตรงกันข้ามกับตัวอย่างก่อนหน้านี้
คือไม่ทำให้ SQL มันผิดพลาด แต่ทำให้เป็น SQL ที่มีความหมายเปลี่ยนไป
หากมีชื่อผู้ใช้ดังกล่าวอยู่ในฐานข้อมูล แม้รหัสผ่านจะไม่ตรงก็ไม่มีผล
เพราะเงือนไขที่สองหลัง OR จะเป็นจริงเสมอ

ทำให้เราสามารถ login ในนามของใครก็ได้ เพียงแค่รู้จักชื่อผู้ใช้




วิธีป้องกัน SQL Injection

ในการเอาค่าที่รับมาจากผู้ใช้ไปรวมเป็น query นั้น
เราต้อง "escape" ค่าที่รับมาจากผู้ใช้ด้วยฟังก์ชั่นที่เหมาะสม (ซึ่งแล้วแต่ชนิดของฐานข้อมูล) ก่อนที่จะนำไปใช้

ซึ่งสำหรับ MySQL นั้นมีสองฟังก์ชั่นคือ

mysql_escape_string() และ mysql_real_escape_string()

ซึ่งแนะนำให้ใช้ตัวหลัง

ตัวอย่าง
$_POST['username'] = mysql_real_escape_string($_POST['username']); $_POST['password'] = mysql_real_escape_string($_POST['password']); $sql = "SELECT * FROM `member` WHERE `username` = '$_POST[username]' AND `password` = '$_POST[password]'";


หากเรา "escape" ค่าที่รับมาจากผู้ใช้แล้ว ต่อให้มีเครื่องหมาย ' อยู่ในค่านั้นๆ ก็จะไม่มีปัญหาอีกต่อไป

สมมติว่าเราส่งพาสเวิร์ดที่มีค่า -_-' ตามตัวอย่างก่อนหน้านี้

ก็จะได้ตัวแปร $sql ที่มีค่า

SELECT * FROM `member` WHERE `username` = 'cookiephp' AND `password` = '-_-\''


ซึ่ง \' จะไม่ทำให้ SQL ผิดเพี้ยน เพราะ MySQL จะตีความเป็นเครื่องหมาย ' ให้เป็น "ข้อมูล" ไม่ใช่ "ไวยากรณ์ ของ SQL"




มาเปลี่ยนวิธีการสร้าง query กันเถอะ

จากตัวอย่างข้างบน สามารถทำให้โค้ดกระชับขึ้นได้ด้วยการหลีกเลี่ยงการกำหนดค่าลงตัวแปรด้วยการเชื่อมต่อสตริง

ใช้การเชื่อมต่อสตริงเพื่อสร้าง SELECT query
// ไม่ต้องมีการกำหนดค่าลงตัวแปรก่อนนำไปใช้ // ลดขั้นตอนการทำงานของ PHP ลง // ประหยัดหน่วยความจำ $sql = "SELECT * FROM `member` WHERE `username` = '" . mysql_real_escape_string($_POST['username']) . "' AND `password` = '" . mysql_real_escape_string($_POST['password']) . "'";


แต่ไม่แนะนำให้ใช้!!! เพราะอ่านยาก แก้ไขยาก และเขียนผิดพลาดได้ง่าย

แนะนำให้ใช้ฟังก์ชั่น sprintf() เพื่อการแก้ไขที่สะดวกขึ้นในภายหลัง และทำให้อ่านง่ายมากขึ้นด้วย

sprintf() นั้นเป็นฟังก์ชั่นที่ใช้ "แทนที่ค่าต่างๆ ลงใน string ตามรูปแบบที่ต้องการ"

โดยมีรูปแบบการใช้ดังนี้ sprintf(รูปแบบ, ค่าแทนที่)
รูปแบบ คือ string ที่เครื่องหมาย % แล้วตามด้วยอักษรภาษาอังกฤษบางตัว เช่น %s, %d (แต่สำหรับการสร้าง query เราใช้แบบเดียวคือ %s) จะทำให้กลายเป็นจุดที่ค่าอื่นจะมาแทนที่ หากจะแสดงเครื่องหมาย % ต้องใช้ %%
ค่าแทนที่ สามารถมีได้หลายค่า

ตัวอย่างการใช้ sprintf()
echo sprintf('I am %s years old.', 10); // %s คือจุดที่จะแทนที่ด้วยค่าอื่น ในที่นี้คือ 10 จะได้ผลเป็น // I am 10 years old. echo sprintf('I have %s brothers and %s sisters.', 2, 4); // ค่าแทนที่มากกว่า 1 ค่า // I have 2 brothers and 4 sisters. echo sprintf('<div style="width: %s%%">Hello World</div>', 50); // %% จะกลายเป็น % // <div style="width: 50%">Hello World</div>


ใช้ sprintf() เพื่อสร้าง SELECT query ลองเปรียบเทียบกับการเชื่อมต่อสตริง แบบไหนอ่านง่ายกว่า?
sql = sprintf( "SELECT * FROM `member` WHERE `username` = '%' AND `password` = '%s'", mysql_real_escape_string($_POST['username']), // %s ตัวที่หนึ่ง mysql_real_escape_string($_POST['password']) // %s ตัวที่สอง );


ใช้ sprintf() เพื่อสร้าง INSERT query
$sql = sprintf( " INSERT INTO `members` (`id`, `username`, `password`, `first_name`, `last_name`) VALUES ('', '%s', '%s', '%s', '%s') ", mysql_real_escape_string($_POST['username']), // %s ตัวที่ 1 mysql_real_escape_string($_POST['password']), // %s ตัวที่ 2 mysql_real_escape_string($_POST['first_name']), // %s ตัวที่ 3 mysql_real_escape_string($_POST['last_name']) // %s ตัวที่ 4 );


ใช้ sprintf() เพื่อสร้าง UPDATE query
$sql = sprintf( " UPDATE `members` SET `username` = '%s', `password` = '%s', `first_name` = '%s', `last_name` = '%s' WHERE `id` = '%s' LIMIT 1 ", mysql_real_escape_string($_POST['username']), // %s ตัวที่ 1 mysql_real_escape_string($_POST['password']), // %s ตัวที่ 2 mysql_real_escape_string($_POST['first_name']), // %s ตัวที่ 3 mysql_real_escape_string($_POST['last_name']), // %s ตัวที่ 4 mysql_real_escape_string($_POST['id']) // %s ตัวที่ 5 );





บทความที่เกี่ยวข้อง





แหล่งข้อมูลอ้างอิง




ติดตามบทความล่าสุดของผู้เขียนได้ที่ phpinfo() Facebook Page







   
Share
Bookmark.   

  By : phpinfo()
  Article : บทความเป็นการเขียนโดยสมาชิก หากมีปัญหาเรื่องลิขสิทธิ์ กรุณาแจ้งให้ทาง webmaster ทราบด้วยครับ
  Score Rating :
  Create Date : 2013-02-17
  Download : No files
Sponsored Links
Encrypt / Decrypt การเข้ารหัส (EnCode และ DeCode) ข้อความบน SQL Server Database
Encrypt / Decrypt การเข้ารหัส (EnCode และ DeCode) ข้อความบน SQL Server Database
Encrypt / Decrypt การเข้ารหัส (EnCode และ DeCode) ข้อความบน SQL Server Database
Rating : Update : 2017-03-24 17:17:59
แก้ไขปัญหา Notice: Undefined index บน PHP แสดง Error/Message  นี้เมื่อมีการเรียกตัวแปร (Variable)
แก้ไขปัญหา Notice: Undefined index บน PHP แสดง Error/Message นี้เมื่อมีการเรียกตัวแปร (Variable)
ใน PHP เวอร์ชั่นใหม่ๆ เราอาจจะพบ Message Warning นี้กันอยู่บ่อยมาก อันที่จริงมันไม่ใช่ Error ที่เพิ่งเกิดขึ้นมาใหม่ เป็นเพียงการเปลี่ยน Configuration ของ PHP ให้มีความปลอดภัยมากขึ้น
Rating : Update : 2017-04-16 21:28:57
อัพโหลดไฟล์รูป จัดเก็บชื่อในฐานข้อมูล โดย mysqli class จากนั้นนำภาพมาแสดงเป็นสไลด์ แบบ Responsive โดยใช้ Bxslider
อัพโหลดไฟล์รูป จัดเก็บชื่อในฐานข้อมูล โดย mysqli class จากนั้นนำภาพมาแสดงเป็นสไลด์ แบบ Responsive โดยใช้ Bxslider
ระบบอัพโหลดรูปภาพ ส่งข้อมูลไปบันทึกในฐานข้อมูล มีการเปิด-ปิดใช้งานรูปภาพ มีการจัดลำดับของสไลด์ ใช้ Bootstrap ส่งข้อมูลโดยใช้ jquery มีระบบล็อกอิน มีการใช้งานสไลด์ที่รองรับ responsive
Rating : Update : 2017-04-12 20:43:34
SignalR (Windows Form) : ตัวอย่างการรับส่งข้อมูลแบบ Real Time และการจัดเก็บลงใน Database
SignalR (Windows Form) : ตัวอย่างการรับส่งข้อมูลแบบ Real Time และการจัดเก็บลงใน Database
ตัวอย่างการเขียน SignalR บน Windows Form Application เพื่อรับส่งข้อมูลแบบ Real Time จาก Client ไปยัง Server และจาก Server ไปยัง Client โดยมีการจัดเก็บข้อมูลลงใน Database ด้วย
Rating : Update : 2017-03-24 17:26:09
Windows Form กับ ListView แสดงข้อมูลบน ListView ในรูปแบบ Table/Grid (VB.Net,C#)
Windows Form กับ ListView แสดงข้อมูลบน ListView ในรูปแบบ Table/Grid (VB.Net,C#)
บทความพื้นฐานเกี่ยวกับการใช้ ListView ซึ่งเป็น Control ที่ใช้สำหรับการแสดงข้อมูลในรูปแบบของ Table หรือ GridView โดยรองรับข้อมูลจากหลายๆ รูปแบบ เช่น Array, List หรือ Database
Rating : Update : 2017-03-24 17:36:53
การค้นหาค่า Binary ใน Image Data ของ SQL Server
การค้นหาค่า Binary ใน Image Data ของ SQL Server
เนื่องจากการค้นหาใน Image Data หรือ Binary เป็นเรื่องที่ยุ่งยากมาก ๆ สำหรับมือใหม่ในหลาย ๆ คน ซึ่งผมก็ได้ลองผิดลองถูกต่าง ๆ จนสามารถคิดค้นวิธีการค้นหา / อัพเดท Image Binary ได้ครับ จึงอยากนำมาแชร์ให้เพื่อน ๆ ได้ศึกษาเป็นแนวทางกันครับ
Rating : Update : 2016-08-29 00:04:38
jQuery กับ Ajax และ JSON  ใช้ Serialize() ส่งค่า Form (Content-Type: application/json)
jQuery กับ Ajax และ JSON ใช้ Serialize() ส่งค่า Form (Content-Type: application/json)
ตัวอย่างการใช้ jQuery กับ Ajax และ JSON การรับส่งข้อมูลในรุปแบบต่างๆ เช่น String, JSON String, JSON Object และค่าจากการ Input Form
Rating : Update : 2017-03-24 17:39:22
ThaiCreate.Com Forum


Comunity Forum Free Web Script
Jobs Freelance Free Uploads
Free Web Hosting Free Tools

สอน PHP ผ่าน Youtube ฟรี
สอน Android การเขียนโปรแกรม Android
สอน Windows Phone การเขียนโปรแกรม Windows Phone 7 และ 8
สอน iOS การเขียนโปรแกรม iPhone, iPad
สอน Java การเขียนโปรแกรม ภาษา Java
สอน Java GUI การเขียนโปรแกรม ภาษา Java GUI
สอน JSP การเขียนโปรแกรม ภาษา Java
สอน jQuery การเขียนโปรแกรม ภาษา jQuery
สอน .Net การเขียนโปรแกรม ภาษา .Net
Free Tutorial
สอน Google Maps Api
สอน Windows Service
สอน Entity Framework
สอน Android
สอน Java เขียน Java
Java GUI Swing
สอน JSP (Web App)
iOS (iPhone,iPad)
Windows Phone
Windows Azure
Windows Store
Laravel Framework
Yii PHP Framework
สอน jQuery
สอน jQuery กับ Ajax
สอน PHP OOP (Vdo)
Ajax Tutorials
SQL Tutorials
สอน SQL (Part 2)
JavaScript Tutorial
Javascript Tips
VBScript Tutorial
VBScript Validation
Microsoft Access
MySQL Tutorials
-- Stored Procedure
MariaDB Database
SQL Server Tutorial
SQL Server 2005
SQL Server 2008
SQL Server 2012
-- Stored Procedure
Oracle Database
-- Stored Procedure
SVN (Subversion)
แนวทางการทำ SEO
ปรับแต่งเว็บให้โหลดเร็ว


สุดยอด Source Code V2.0
 

แจ้งชำระเงิน/โอนเงิน
 

Hit Link
   


Acc : thaicreate@hotmail.com




Load balance : Server 00
ThaiCreate.Com Logo
© www.ThaiCreate.Com. 2003-2018 All Rights Reserved.
ไทยครีเอทบริการ จัดทำดูแลแก้ไข Web Application ทุกรูปแบบ (PHP, .Net Application, VB.Net, C#)
for Contact Us : [Conditions Privacy Statement] ติดต่อโฆษณา 081-987-6107 , 08-9968-0655 อัตราราคา คลิกที่นี่