Register Register Member Login Member Login Member Login Forgot Password ??
PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone
 

Registered : 109,030

HOME > PHP > PHP Forum > Website โดนแฮ็ก ทุกอาทิตย์ ใครพอมีวิธีปรับแก้ Source code บ้าง



 

Website โดนแฮ็ก ทุกอาทิตย์ ใครพอมีวิธีปรับแก้ Source code บ้าง

 



Topic : 099016



โพสกระทู้ ( 66 )
บทความ ( 0 )



สถานะออฟไลน์
Twitter Facebook Hi5 Blogger



ใครพอมีวิธีการจัดการ Source Code หน้า login ไม่ให้โดนแฮ็กบ้าง เพราะเว็บไซต์ที่ผมสร้างขึ้น มีการใช้งานของ Session ทุก page
แต่กลับโดนแฮ็กทุกอาทิตย์
ใครพอจะมีวิธีการช่วยเหลือบ้าง แนวทางการปรับปรุง Source code เพื่อการเข้าถึงฐานข้อมูล ประมาณนี้



Tag : PHP, MySQL






Move To Hilight (Stock) 
Send To Friend.Bookmark.
Date : 2013-08-13 08:44:47 By : kantarasukan View : 763 Reply : 8
 

 

No. 1



โพสกระทู้ ( 74,058 )
บทความ ( 838 )

สมาชิกที่ใส่เสื้อไทยครีเอท

สถานะออฟไลน์
Twitter Facebook

Hack ยังไงครับ อะไรตรงไหนที่โดน Hack ลองดูพวกไฟล์แปลก ๆ ช่องโหว์ เช่น Upload / SQL Injection และพวก FTP / User/ Password หรือยังครับ





แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2013-08-13 09:02:24 By : mr.win
 


 

No. 2



โพสกระทู้ ( 66 )
บทความ ( 0 )



สถานะออฟไลน์
Twitter Facebook Hi5 Blogger

hack เข้าไปในระบบ control panel เพื่อแก้ไขข้อมูลครับ
website msp.agro.ku.ac.th
ผมใช้ SQL Injection แบบธรรมดาเลยครับ
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2013-08-13 09:17:01 By : kantarasukan
 

 

No. 3



โพสกระทู้ ( 74,058 )
บทความ ( 838 )

สมาชิกที่ใส่เสื้อไทยครีเอท

สถานะออฟไลน์
Twitter Facebook

ขั้นตอนลองตรวจสอบดูก่อนครับว่า มีการเข้าทางไหน เช่น เก็บ Log ตอนที่ Login สำหรับ SQL Injection เขียนง่าย ๆ ก็ลองดูตัวนี้ครับ

Code (PHP)
<?php
// Connect
$link = mysql_connect('mysql_host', 'mysql_user', 'mysql_password')
    OR die(mysql_error());

// Query
$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
            mysql_real_escape_string($user),
            mysql_real_escape_string($password));
?>

แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2013-08-13 09:24:20 By : mr.win
 


 

No. 4



โพสกระทู้ ( 66 )
บทความ ( 0 )



สถานะออฟไลน์
Twitter Facebook Hi5 Blogger

ลองตรวจสอบดู code การ login ของผมให้หน่อยครับ
Code (PHP)
<?php
  session_start(); 
  
  include "connect.php";
   $strSQL = sprintf(
    "SELECT * FROM `member` WHERE `Username` = '%' AND `Password` = '%s'",
    mysql_real_escape_string($_POST['username']),
    mysql_real_escape_string($_POST['password']));
  $objQuery = mysql_query($strSQL); 
  $objResult = mysql_fetch_array($objQuery); 
 
   if(!$objResult) 
     { 
	    echo "<script type='text/javascript'>";
		echo "alert('user and password wrong input try me again!'); location.href='loginadmin.php';";
		echo "</script>"; 
        
      } 
    else
 { 
        
$_SESSION["UserID"] = $objResult["UserID"]; 
$_SESSION["Status"] = $objResult["Status"]; 
$_SESSION["Name"] = $objResult["Name"];
         
  session_write_close(); 
  if($objResult["Status"] == "admin") 
     { 
	    echo "<script type='text/javascript'>";
		echo "alert(' Welcome to System Tool Menager '); location.href='main.php';";
		echo "</script>";
       
     } 
      else
     { 
		 echo "<script type='text/javascript'>";
		 echo "alert('user and password wrong input try me again! '); location.href='loginadmin.php';";
		 echo "</script>";
       
      } 
  } 
  
mysql_close(); 
?>


อยากทราบว่าจะต้องตรวจสอบยังไง
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2013-08-14 08:24:30 By : kantarasukan
 


 

No. 5



โพสกระทู้ ( 74,058 )
บทความ ( 838 )

สมาชิกที่ใส่เสื้อไทยครีเอท

สถานะออฟไลน์
Twitter Facebook

สร้าง Log เก็บไว้น่ะครับ แล้วในหน้าอื่น ๆ ได้มีการเช็คค่า Session หรือเปล่าครับ
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2013-08-14 08:32:15 By : mr.win
 


 

No. 6



โพสกระทู้ ( 66 )
บทความ ( 0 )



สถานะออฟไลน์
Twitter Facebook Hi5 Blogger

มีการเช็ค SESSION ทุก page ครับ เมื่อวานลองตรวจสอบดูใน Folder myfile พบไฟล์ที่ถูกนำมาวางชื่อ index.php และไฟล์ program.rar เมื่อเจอก็ลบทิ้งเลย ครับ
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2013-08-14 08:37:02 By : kantarasukan
 


 

No. 7



โพสกระทู้ ( 74,058 )
บทความ ( 838 )

สมาชิกที่ใส่เสื้อไทยครีเอท

สถานะออฟไลน์
Twitter Facebook

ตอบความคิดเห็นที่ : 6 เขียนโดย : kantarasukan เมื่อวันที่ 2013-08-14 08:37:02
รายละเอียดของการตอบ ::
แสดงว่าโดนแทรกไฟล์แล้วครับ อาจจะต้องตรวจสอบไฟล์ทั้งหมดของเว็บครับ

แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2013-08-14 09:04:56 By : mr.win
 


 

No. 8



โพสกระทู้ ( 2,311 )
บทความ ( 1 )



สถานะออฟไลน์


ลองดูครับ อาจไม่ใช่วิธีที่ดีที่สุด สิ่งที่ควรเพิ่ม(ถ้าทำได้)
- เพิ่ม Captcha เผื่อมันใช้โปรแกรมยิงมา
- เก็บ Log ทุกอย่างที่สามารถเก็บได้ตั้งแต่ส่งฟอร์ม login มา โดยสร้างตารางฐานข้อมูลใหม่ เพื่อเก็บครับ ลองดูว่าเราควรเก็บอะไรบ้าง เช่น
user , pass, refer, ip ,post ,เบราเซอร์ ,เวลา ฯลฯ
- หรือไม่ก็ลองเปลี่ยน part โฟล์เดอร์ต่างๆ(ถ้าไม่กระทบกับส่วนอื่นมากนัก)

คิดไม่ออกละ
ลองปรับดูนะครับ
Code (PHP)
<?php
  session_start(); 
  include "connect.php";
  
  #------------------Function Clean Input เพื่อตัดค่าแปลกปลอม--------------------#
  function clean_input($input){
		$input = trim($input);
		if(get_magic_quotes_gpc()) {
			$input = stripslashes($input);
		}
		#ตัด html tag
		$input = strip_tags($input);
		return mysql_real_escape_string($input);
	}
  #-------------End Function---------------#
  
  
  if($_SERVER['HTTP_REFERER'] <> 'http://msp.agro.ku.ac.th/loginadmin.php'){ #เช็ค Refer ว่ามีการส่งฟอร์มมาจากหน้า Login ที่เราสร้างจริงไม๊
	  	echo "<script type='text/javascript'>";
		echo "alert('user and password wrong input try me again!'); location.href='loginadmin.php';";
		echo "</script>"; 
  } else {
  
   $strSQL = sprintf(
    							"SELECT * FROM member WHERE Username = '%s' AND Password = '%s' ",
								clean_input($_POST['username']),
								clean_input($_POST['password'])
							);
  $objQuery = mysql_query($strSQL); 
  if(mysql_num_rows($objQuery) <= 0){ #ถ้าเช็คแล้วไม่มี User และ pass ที่ตรงกัน ก็ให้ล็อคอินใหม่
	  	echo "<script type='text/javascript'>";
		echo "alert('user and password wrong input try me again!'); location.href='loginadmin.php';";
		echo "</script>"; 
  } else {
	  $objResult = mysql_fetch_array($objQuery); 
 
	   if(!$objResult) 
		 { 
			echo "<script type='text/javascript'>";
			echo "alert('user and password wrong input try me again!'); location.href='loginadmin.php';";
			echo "</script>"; 
			
		  } else  { 
			$_SESSION['UserID'] = $objResult['UserID']; 
			$_SESSION['Status'] = $objResult['Status']; 
			$_SESSION['Name'] = $objResult['Name'];
 			session_write_close(); 
			
			  if($objResult['Status'] == 'admin') 
				 { 
					echo "<script type='text/javascript'>";
					echo "alert(' Welcome to System Tool Menager '); location.href='main.php';";
					echo "</script>";
				   
				 } 
				  else
				 { 
					 echo "<script type='text/javascript'>";
					 echo "alert('user and password wrong input try me again! '); location.href='loginadmin.php';";
					 echo "</script>";
				   
				  } 
 		 } 
  	}
} #จบการเช็ค Refer
mysql_close(); 
?>

แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2013-08-14 09:06:28 By : arm8957
 

   

ค้นหาข้อมูล
   
 

แสดงความคิดเห็น
Re : Website โดนแฮ็ก ทุกอาทิตย์ ใครพอมีวิธีปรับแก้ Source code บ้าง
 
 
รายละเอียด
 
ตัวหนา ตัวเอียง ตัวขีดเส้นใต้ ตัวมีขีดกลาง| ตัวเรืองแสง ตัวมีเงา ตัวอักษรวิ่ง| จัดย่อหน้าอิสระ จัดย่อหน้าชิดซ้าย จัดย่อหน้ากึ่งกลาง จัดย่อหน้าชิดขวา| เส้นขวาง| ขนาดตัวอักษร แบบตัวอักษร
ใส่แฟลช ใส่รูป ใส่ไฮเปอร์ลิ้งค์ ใส่อีเมล์ ใส่ลิ้งค์ FTP| ใส่แถวของตาราง ใส่คอลัมน์ตาราง| ตัวยก ตัวห้อย ตัวพิมพ์ดีด| ใส่โค้ด ใส่การอ้างถึงคำพูด| ใส่ลีสต์
smiley for :lol: smiley for :ken: smiley for :D smiley for :) smiley for ;) smiley for :eek: smiley for :geek: smiley for :roll: smiley for :erm: smiley for :cool: smiley for :blank: smiley for :idea: smiley for :ehh: smiley for :aargh: smiley for :evil:
Insert PHP Code
Insert ASP Code
 Insert VB.NET Code Insert C#.NET Code Insert JavaScript Code Insert C#.NET Code
Insert Java Code
Insert Android Code
Insert Objective-C Code
Insert XML Code
Insert SQL Code
Insert Code
เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

   
  เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง
 
โดย
อีเมล์
บวกค่าให้ถูก
<= ตัวเลขฮินดูอารบิก เช่น 123 (หรือล็อกอินเข้าระบบสมาชิกเพื่อไม่ต้องกรอก)







Exchange: นำเข้าสินค้าจากจีน, Taobao, เฟอร์นิเจอร์, ของพรีเมี่ยม, ร่ม, ปากกา, power bank, แฟลชไดร์ฟ, กระบอกน้ำ

Load balance : Server 05
ThaiCreate.Com Logo
© www.ThaiCreate.Com. 2003-2024 All Rights Reserved.
ไทยครีเอทบริการ จัดทำดูแลแก้ไข Web Application ทุกรูปแบบ (PHP, .Net Application, VB.Net, C#)
[Conditions Privacy Statement] ติดต่อโฆษณา 081-987-6107 อัตราราคา คลิกที่นี่