Forgot Password ??

PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone

	Registered : 109,027

HOME > PHP > PHP Forum > เขียนเว็บ หรือ ระบบออนไลน์ ด้วย php อย่างไร ให้ปลอดภัยจาก hacker ครับ ผู้มีประสบการณ์ช่วยตอบทีครับ

เขียนเว็บ หรือ ระบบออนไลน์ ด้วย php อย่างไร ให้ปลอดภัยจาก hacker ครับ ผู้มีประสบการณ์ช่วยตอบทีครับ

เริ่มหัวข้อใหม่

nueng

โพสกระทู้ ( 96 )
บทความ ( 0 )

อยากจะสอบถาม พี่ๆทั้งหลายที่เก่ง และ ทำงานในด้านนี้ ครับ คือ ผมอยากทราบว่า เราจะมีวิธีเขียน โค๊ด อย่างไรให้ปลอดภัยจาก hacker ปกติแล้วก็ศึกษา การเขียนแบบโครงสร้างธรรมดา บางครั้งก็ส่งค่า id ขึ้นแสดงบน url และผมรู้มาว่ามันสามารถ hack ได้ และมันทำได้จริงๆครับ เห็นแล้วด้วย อยากจะถามผู้มีประสบการณ์ ว่า เราจะมีวิธีการเขียนอย่างไรบ้าง ให้เว็บไซต์เราปลอดภัย ในหนังสือ หรือตามเว็บ ผมก็เห็นสอนแต่แบบนี้ทั้งนั้น ไม่เห็นพูดถึงเรื่องความปลอดภัยเลย

Tag : PHP, MySQL

Date : 2011-11-19 19:31:31

By : dekchai

View : 5373

Reply : 15

No. 1

banana

โพสกระทู้ ( 6 )
บทความ ( 0 )

แนะนําไปศึกษาหลักการอีคอมเมิร์ซครับ

Date : 2011-11-19 20:40:55

By : banana7

No. 2

mr.v

โพสกระทู้ ( 4,719 )
บทความ ( 8 )

ศึกษาสิ่งต่อไปนี้
- sql injection
- xss (cross site scripting)
- csrf (corss site request fogery)

ปรับปรุงสิ่งต่อไปนี้
- ป้องกันการแฮคทาง cookie
- ป้องกันการแฮคทาง session
- เก็บข้อมูลรหัสผ่านแบบเข้ารหัส+salt เช่น md5("password" . "asdf!@#DFH"); จะได้ผลต่างจาก md5("password"); ซึ่งเอาผลการเข้ารหัสไปเทียบกับข้อมูลใยฐานข้อมูล md5 เพื่อย้อนกลับได้
- ตั้งรหัสผ่านให้ยาก
- ทำระบบ log in ให้นับการ log in ผิดติดกันไม่เกิน x ครั้ง ถ้าเกินให้ log in ไม่ได้ xx นาที

ทำได้หมดนี่เชื่อว่าจะโดนยากขึ้น

Date : 2011-11-19 20:42:46

By : mr.v

No. 3

Guest

ชัดเจน เลย ^^

Date : 2011-11-19 21:43:54

By : supachai

No. 4

nueng

โพสกระทู้ ( 96 )
บทความ ( 0 )

เข้าใจแล้วครับ เพราะผมศึกษาเท่าที่มีหนังสือขายทั่วไป เรื่องนี้ต้องศึกษา ใหม่เลยครับ เนี่ย ต้องใช้เวลา

Date : 2011-11-19 21:55:15

By : dekchai

No. 5

เอี่ยว

โพสกระทู้ ( 3,468 )
บทความ ( 0 )

โดนแฮคแล้วปวดใจ

ดีนะยังไม่เคยโดน

ไม่อยากโดนแฮ้ก ง่ายๆ อย่าตั้ง user pass ให้ตรงกันทุกเว็บ เจ้าของเว็บเขารู้นะ

Date : 2011-11-19 22:33:11

By : pjgunner.com

No. 6

nueng

โพสกระทู้ ( 96 )
บทความ ( 0 )

hack แบบ เดา password ไม่เท่าไหร่ เจอโดนแบบ เอาข้อมูลจาก url มาแฮก มันดูได้ทุกอย่าง โดยเฉพาะฐานข้อมูล ว่ามีข้อมูลอะไรบ้าง เรามันก็มือใหม่อ่อนหัดด้วย

Date : 2011-11-19 23:12:00

By : dekchai

No. 7

เอี่ยว

โพสกระทู้ ( 3,468 )
บทความ ( 0 )

ปัญหานี้แก้ง่ายสุดคับ

ลองศึกษาดูคับ php บางเวอร์ชั่นก็ช่วย อยู่แล้ว แต่เวอร์ชั่น ใหม่ๆ อาจปรับเป็นให้จัดการเอง

Date : 2011-11-20 00:05:34

By : pjgunner.com

No. 8

nueng

โพสกระทู้ ( 96 )
บทความ ( 0 )

มีอะไรแนะนำเพิ่มเติม หรือ มีแหล่งศึกษามั้ยครับ
ปกติ ผมชอบส่งค่าแบบนี้ ...?url=test.php&id=1 ประมาณนี้ครับ ตัวเลข id จะสามารถเอาไป hack ได้เลย ผมต้องศึกษาแบบไหนบ้างครับ

Date : 2011-11-20 00:12:49

By : dekchai

No. 9

เอี่ยว

โพสกระทู้ ( 3,468 )
บทความ ( 0 )

จาก rep 8 ที่แฮ้ค หมายความว่า ยกตัวอย่างหน่อย ครับ

Date : 2011-11-20 08:46:13

By : pjgunner.com

No. 10

nueng

โพสกระทู้ ( 96 )
บทความ ( 0 )

sql injection ใช้ข้อมูลจากตัว id ที่แสดงบน url นั่นเเหละ มันสามารถเข้าไปดูในฐานข้อมูลได้ว่ามีข้อมูลอะไรบ้าง ดูได้ว่ามีกี่ตาราง

Date : 2011-11-20 11:05:31

By : dekchai

No. 11

เอี่ยว

โพสกระทู้ ( 3,468 )
บทความ ( 0 )

คับ

$id = $_GET['id'] ? (int) $_GET['id'] : 0;

ข้อมูลที่เป็นตัวเลข ให้ cast เท่านี้ก็ไม่โดนแล้วคับ

ข้อมูลที่เป็นสตริง ให้ ใส่ escape char

Date : 2011-11-20 11:36:38

By : pjgunner.com

No. 12

nueng

โพสกระทู้ ( 96 )
บทความ ( 0 )

OK จะลองดูก่อนครับ ตอนนี้เพิ่มเริ่มทำระบบเล็ก ให้ทางมหาลัย จะลองตอนนี้เเหละ ขอบคุณครับ

Date : 2011-11-20 15:25:40

By : dekchai

No. 13

nueng

โพสกระทู้ ( 96 )
บทความ ( 0 )

เอ...? ไม่ทราบว่า ผมจะขอตัวอย่างซักบรรทัดสองบรรทัดได้มั้ยครับ เขียนแบบไหนครับ เขียนยังไง

ตัวอย่าง ผมชอบส่งแบบนี้ index.php?url=vdo_all.php&vdo_group_id=4
แล้วถ้าผมจะแก้ไขแบบเขียนแบบใหม่ จะเขียนได้อย่างไร
และขอตัวอย่างแบบส่งค่าแบบสตริงที่ว่าด้วยครับ

ปัญหาครั้งนี้ขอให้ผมได้แก้ไขให้ได้ด้วยครับ

ขอบคุณมากมาย

Date : 2011-11-20 15:29:16

By : dekchai

No. 14

เอี่ยว

โพสกระทู้ ( 3,468 )
บทความ ( 0 )

ก็เขียนแบบปรกติของคุณนั่นแหละคับ
ก็แค่ตรวจสอบว่า อันไหนต้องใช้ใส่ในคิวรีี่ เราจำเป็นต้องแปลงข้อมูลให้อยู่ในรูปแบบที่ถูกต้องก่อน

ส่วนไหน ไม่ใช้ หากว่า จำเป็นต้องตรวจสอบก็ตรวนสอบเช่น
index.php?url=vdo_all.php&vdo_group_id=4

vdo_all.php นี่มีจริง หรือไม่เพื่อไม่ให้แสดง error ให้ผู้ใช้เห็น
เช่นหากคุณเขียนคิวรี่ว่า

select * from user where id=4
ผมส่งข้อมูลหวังจะให้เป็น
select * from user where id=4 or id!=0

หากคุณ cast ง4 or id!=0' ให้เป็น int ก็จะไม่เกิดปัญหาแล้วใช่มั้ยล่ะคับ
ส่วนสตริงนั้น php มันมีเวอร์ชั่นที่แถม escape string และไม่แถมมา แถมมาก็ขี้เกียจเอาออก เวลาแสดงผล เวลาไม่แถมมา คนที่ไม่รู้ก็อาจจะโดน injection เช่นกัน

ลองดู
http://www.php.net/manual/en/security.magicquotes.what.php และ
http://php.net/manual/en/security.magicquotes.disabling.php คุณก็คงจะเข้าใจ

เราตั้งได้ คิดว่า การปิดไว้ เป็นทางที่ดีที่สุดคับ (สำหรับผม) เราต้องพร้อมเสมอ คือมีให้เลือกสองทาง จะใช้หรือไม่ใช้ คาดว่าphp เวอร์ชั่นใหม่ๆ ต่อไปก็จะปิดไว้คับ

Date : 2011-11-20 15:55:52

By : pjgunner.com

No. 15

อ๊อฟ

โพสกระทู้ ( 1 )
บทความ ( 0 )

แนะนำ หนังสือเลยครับ

Pro PHP Security: From Application Security Principles to the Implementation of XSS Defenses

ประมาณ 39 $

Date : 2013-06-26 19:15:40

By : fippog

ค้นหาข้อมูล

แสดงความคิดเห็น

Re : เขียนเว็บ หรือ ระบบออนไลน์ ด้วย php อย่างไร ให้ปลอดภัยจาก hacker ครับ ผู้มีประสบการณ์ช่วยตอบทีครับ

รายละเอียด

เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง

โดย

อีเมล์

บวกค่าให้ถูก