Forgot Password ??

PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone

	Registered : 109,027

HOME > PHP > PHP Forum > ถ้าเขียนสคริปแบบ oop ในการเพิ่ม ลบ แก้ไขข้อมูล จะสามารถป้องกัน SQL Injection ได้หรือไม่ครับ

ถ้าเขียนสคริปแบบ oop ในการเพิ่ม ลบ แก้ไขข้อมูล จะสามารถป้องกัน SQL Injection ได้หรือไม่ครับ

เริ่มหัวข้อใหม่

Saiimog

โพสกระทู้ ( 476 )
บทความ ( 2 )

ตามหัวข้อ ถ้าเขียนเขียนสคริป การรับค่าต่าง ๆ ในรูปแบบของ OOP จะสามารถป้องกัน SQL Injection ได้หรือไม่ครับ หรือต้องเขียนตามรูปแบบ ตามตัวอย่างที่มีในบอร์ดครับ

ขอคำแนะนำด้วยครับ

ขอบคุณครับ

Tag : PHP

Date : 2012-11-13 14:27:24

By : boodemon

View : 1415

Reply : 3

No. 1

bill

โพสกระทู้ ( 45 )
บทความ ( 0 )

การป้องกัน SQL Injection จะเขียนแบบไหนมันก็กันได้ทั้งนั้นแหละครับ มันไม่เกี่ยวว่าเขียนแบบนี้หรือแบบนั้นถึงจะกันได้

มันอยู่ที่ว่าข้อมูลที่ถูกส่งมาจาก client และเราจะนำไปใช้ ได้ถูกตรวจสอบหรือยัง ถ้าเอาไปใช้โดยไม่ตรวจสอบ SQL injection statemen ก่อน

มันก็คงโดนล่ะครับ สรุปก็คือ มันไม่เกี่ยวหรอกครับจะเขียนแบบไหน แนวคิดไหน หรือยังตีลังกาเขียน มันอยู่ที่ว่า

เราได้จัดการข้อมูลก่อนนำไปใช้หรือยัง

Date : 2012-11-13 19:02:14

By : billbox

No. 2

TC Admin

โพสกระทู้ ( 74,058 )
บทความ ( 838 )

ผมใช้ mysql_real_escape_string() ตัวเดียวจบเลยครับ

Code (PHP)

<?php
// Connect
$link = mysql_connect('mysql_host', 'mysql_user', 'mysql_password')
    OR die(mysql_error());

// Query
$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
            mysql_real_escape_string($user),
            mysql_real_escape_string($password));
?>

อันนี้เป็นแบบ parameters

Date : 2012-11-14 08:56:53

By : mr.win

No. 3

TC Admin

โพสกระทู้ ( 74,058 )
บทความ ( 838 )

ตัวอย่าง

Code (PHP)

<?php
// We didn't check $_POST['password'], it could be anything the user wanted! For example:

$_POST['username'] = 'aidan';
$_POST['password'] = "' OR ''='";

// Query database to check if there are any matching users
$query = "SELECT * FROM users WHERE user='{$_POST['username']}' AND password='{$_POST['password']}'";
//mysql_query($query);

// This means the query sent to MySQL would be:
echo $query;
?>

Code

SELECT * FROM users WHERE user='aidan' AND password='' OR ''=''

อันนี้โดน hack เรียบร้อย

แต่ถ้าใช้ mysql_real_escape_string

Code (PHP)

<?php
// We didn't check $_POST['password'], it could be anything the user wanted! For example:

$_POST['username'] = mysql_real_escape_string('aidan');
$_POST['password'] = mysql_real_escape_string("' OR ''='");

// Query database to check if there are any matching users
$query = "SELECT * FROM users WHERE user='{$_POST['username']}' AND password='{$_POST['password']}'";
//mysql_query($query);

// This means the query sent to MySQL would be:
echo $query;
?>

Code

SELECT * FROM users WHERE user='aidan' AND password='\' OR \'\'=\''

อันนี้ hack ไม่ได้

สรุปก็คือ mysql_real_escape_string() ช่วยได้ในระดับหนึ่งถึงมากครับ แต่ทางที่ดีที่สุดก็คือการตรวจสอบ validate ข้อมูลก่อนครับ ว่าข้อมูลที่กรอกมานั้นมีอะไรแปลก ๆ หรือไม่

Date : 2012-11-14 08:59:37

By : mr.win

ค้นหาข้อมูล

แสดงความคิดเห็น

Re : ถ้าเขียนสคริปแบบ oop ในการเพิ่ม ลบ แก้ไขข้อมูล จะสามารถป้องกัน SQL Injection ได้หรือไม่ครับ

รายละเอียด

เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง

โดย

อีเมล์

บวกค่าให้ถูก