สิ่งที่ทุกคนต้องรู้ (ทั้งมือใหม่และเก่า) ในการเขียนโปรแกรมติดต่อกับฐานข้อมูลด้วย PHP หากไม่อยากให้ระบบที่เขียนนั้นถูก HACK ได้ !!!
โค้ด PHP ที่เกี่ยวกับ mysql ที่เขียนโดยมือสมัครเล่น (หรือแม้แต่มืออาชีพ)$sql = "SELECT * FROM `member` WHERE `username` = '$_POST[username]' AND `password` = '$_POST[password]'";
$result = mysql_query($sql);
if (!$result) {
die(mysql_error());
}
$user = mysql_fetch_array($result);
$_POST['username'] และ $_POST['password'] )SQL Injection ครับมาดูกันว่า SQL Injection เป็นอย่างไร username: cookiephp 0123456789 SELECT * FROM `member` WHERE `username` = 'cookiephp' AND `password` = '0123456789' username: cookiephp -_-' SELECT * FROM `member` WHERE `username` = 'cookiephp' AND `password` = '-_-'' You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''-_-'' `password` = '-_-'' -_-' -_- ' SQL Injection แปลแบบบ้านๆ ได้ว่า การเสียบเข้าไปใน SQL ซึ่งในที่นี้ เราเสียบเครื่องหมาย ' แต่ หากเรา login ด้วยcookiephp ' OR username = 'cookiephp' AND TRUE <> ' SELECT * FROM `member` WHERE `username` = 'cookiephp' AND `password` = '' OR username = 'cookiephp' AND TRUE <> '' เพราะเงือนไขที่สองหลัง OR จะเป็นจริงเสมอ ทำให้เราสามารถ login ในนามของใครก็ได้ เพียงแค่รู้จักชื่อผู้ใช้ วิธีป้องกัน SQL Injection ต้อง "escape" ค่าที่รับมาจากผู้ใช้ด้วยฟังก์ชั่นที่เหมาะสม (ซึ่งแล้วแต่ชนิดของฐานข้อมูล) ก่อนที่จะนำไปใช้mysql_escape_string() และ mysql_real_escape_string() ตัวอย่าง $_POST['username'] = mysql_real_escape_string($_POST['username']);
$_POST['password'] = mysql_real_escape_string($_POST['password']);
$sql = "SELECT * FROM `member` WHERE `username` = '$_POST[username]' AND `password` = '$_POST[password]'";
' -_-' SELECT * FROM `member` WHERE `username` = 'cookiephp' AND `password` = '-_-\'' \' ' มาเปลี่ยนวิธีการสร้าง query กันเถอะ ใช้การเชื่อมต่อสตริงเพื่อสร้าง SELECT query // ไม่ต้องมีการกำหนดค่าลงตัวแปรก่อนนำไปใช้
// ลดขั้นตอนการทำงานของ PHP ลง
// ประหยัดหน่วยความจำ
$sql = "SELECT * FROM `member` WHERE `username` = '"
. mysql_real_escape_string($_POST['username'])
. "' AND `password` = '"
. mysql_real_escape_string($_POST['password'])
. "'";
แต่ไม่แนะนำ เพราะเขียนผิดพลาดได้ง่ายและแก้ไขยาก (แต่ยกตัวอย่างให้ดูเพราะนักพัฒนาของไทยส่วนใหญ่นิยมใช้วิธีนี้กัน) แนะนำให้ใช้ฟังก์ชั่น sprintf() เพื่อการแก้ไขที่สะดวกขึ้นในภายหลัง และทำให้อ่านง่ายมากขึ้นด้วย sprintf() นั้นเป็นฟังก์ชั่นที่ใช้ "แทนที่ค่าต่างๆ ลงใน string ตามรูปแบบที่ต้องการ"sprintf(รูปแบบ , ค่าแทนที่ ) รูปแบบ คือ string ที่เครื่องหมาย % แล้วตามด้วยอักษรภาษาอังกฤษบางตัว เช่น %s , %d (แต่สำหรับการสร้าง query เราใช้แบบเดียวคือ %s ) จะทำให้กลายเป็นจุดที่ค่าอื่นจะมาแทนที่ หากจะแสดงเครื่องหมาย % ต้องใช้ %% ค่าแทนที่ สามารถมีได้หลายค่าตัวอย่างการใช้ sprintf() echo sprintf('I am %s years old.', 10); // %s คือจุดที่จะแทนที่ด้วยค่าอื่น ในที่นี้คือ 10 จะได้ผลเป็น
// I am 10 years old.
echo sprintf('I have %s brothers and %s sisters.', 2, 4); // ค่าแทนที่มากกว่า 1 ค่า
// I have 2 brothers and 4 sisters.
echo sprintf('<div style="width: %s%%">Hello World</div>', 50); // %% จะกลายเป็น %
// <div style="width: 50%">Hello World</div>
ใช้ sprintf() เพื่อสร้าง SELECT query // อาจจะทำงานช้ากว่าการเชื่อมต่อสตริง
// แต่ประหยัดหน่วยความจำเหมือนกัน
// และอ่านง่าย แก้ไขง่าย กว่ากันเยอะ
$sql = sprintf(
"SELECT * FROM `member` WHERE `username` = '%s' AND `password` = '%s'",
mysql_real_escape_string($_POST['username']), // %s ตัวที่ 1
mysql_real_escape_string($_POST['password']) // %s ตัวที่ 2
);
ใช้ sprintf() เพื่อสร้าง INSERT query $sql = sprintf(
"
INSERT INTO `members`
(`id`, `username`, `password`, `first_name`, `last_name`)
VALUES
('', '%s', '%s', '%s', '%s')
",
mysql_real_escape_string($_POST['username']), // %s ตัวที่ 1
mysql_real_escape_string($_POST['password']), // %s ตัวที่ 2
mysql_real_escape_string($_POST['first_name']), // %s ตัวที่ 3
mysql_real_escape_string($_POST['last_name']) // %s ตัวที่ 4
);
ใช้ sprintf() เพื่อสร้าง UPDATE query $sql = sprintf(
"
UPDATE `members`
SET
`username` = '%s',
`password` = '%s',
`first_name` = '%s',
`last_name` = '%s'
WHERE `id` = '%s'
LIMIT 1
",
mysql_real_escape_string($_POST['username']), // %s ตัวที่ 1
mysql_real_escape_string($_POST['password']), // %s ตัวที่ 2
mysql_real_escape_string($_POST['first_name']), // %s ตัวที่ 3
mysql_real_escape_string($_POST['last_name']), // %s ตัวที่ 4
mysql_real_escape_string($_POST['id']) // %s ตัวที่ 5
);
แหล่งข้อมูลอ้างอิง mysql_escape_string() - http://www.php.net/manual/en/function.mysql-escape-string.php mysql_real_escape_string() - http://www.php.net/manual/en/function.mysql-real-escape-string.php sprintf() - http://www.php.net/manual/en/function.sprintf.php PHP - Basic MySQL Injection - http://www.youtube.com/watch?v=SDHlfqd4CjM How to prevent SQL injection in PHP? - http://stackoverflow.com/questions/60174/how-to-prevent-sql-injection-in-php Tag PHP
ประวัติการแก้ไข
Date :
2013-02-18 12:56:33By :
cookiephpView :
2474Reply :
37
น่าจะเขียเป็นบทความไปเลยนะครับ ดีครับๆ ความรู้ใหม่
Date :
2013-02-18 13:11:34By :
ALTELMA
เขียนไปแล้วตั้งแต่เมื่อวานครับ แต่ยังไม่ได้รับการรับรองครับ เลยโพสต์ไว้ในนี้ด้วย
Date :
2013-02-18 13:14:55By :
cookiephp
ถ้า setting PHP ของคุณมีการตั้ง magic_quotes_gpc ให้ทำงานไว้ มันจะ escape พวกตัวแปร $_GET, $_POST ให้อัตโนมัติครับ
Date :
2013-02-18 14:01:01By :
cookiephp
ประวัติการแก้ไข
Date :
2013-02-18 14:11:33By :
triplea
Date :
2013-02-18 14:27:29By :
apisitp
magic_quotes_gpc คือ setting อันนึงของ PHP<input name="username" type="text" /> '_' ส่งไปที่ PHP ที่ค่า magic_quotes_gpc เปิดอยู่\'_\' แทนที่จะเป็น '_' เฉย คือมี \ เพิ่มเข้ามาให้
Date :
2013-02-18 14:55:25By :
cookiephp
ยอดเยี่ยมมากๆครับ
Date :
2013-02-18 15:08:36By :
Dragons_first
เพิ่มเติม บางทีถ้าคุณเขียน script เช็ค value ไม่ดีพอคุณก็อาจจะโดนแบบนี้ได้ครับเหตุการเกิดจาก
Date :
2013-02-18 15:13:00By :
Ex-[S]i[L]e[N]t
PHP - Basic MySQL Injection ===> นี้เป็นคลิปของ phpacademy หรือเปล่าครับ
Date :
2013-02-18 16:08:20By :
popnakub
ใส่ user มั่วๆ
Date :
2013-02-19 11:44:33By :
theteza02
งั้นก็คงเหลือแต่ PDO แล้วสิครับ -.- โค๊ดยาวเกิ้ล -.-"
Date :
2013-02-19 14:05:47By :
Ex-[S]i[L]e[N]t
แค่เคยได้ยินมาหนะครับ ถ้าผิดต้องขออภัย
Date :
2013-02-19 14:50:42By :
Ex-[S]i[L]e[N]t
ขอบคุณครับ T T
Date :
2013-02-20 11:28:49By :
cookiephp
บทความดี ๆ เดียวจะแชร์ให้ทุกบทความครับ
Date :
2013-02-27 10:16:50By :
mr.win
Server 03
Load balance : Server 03
Thank ๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆๆ
