Register Register Member Login Member Login Member Login Forgot Password ??
PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone
 

Registered : 109,027

HOME > PHP > PHP Forum > Database Mysql โดนยิงเข้ามาเรื่อยๆเลยอ่ะครับ ควรแก้อย่างไรดี



 

Database Mysql โดนยิงเข้ามาเรื่อยๆเลยอ่ะครับ ควรแก้อย่างไรดี

 



Topic : 117539



โพสกระทู้ ( 586 )
บทความ ( 0 )



สถานะออฟไลน์




Database Mysql โดนยิงเข้ามาเรื่อยๆเลยอ่ะครับ ควรแก้อย่างไรดี

ปปป



Tag : PHP, MySQL







Move To Hilight (Stock) 
Send To Friend.Bookmark.
Date : 2015-07-03 13:49:35 By : nut_ch31 View : 1573 Reply : 6
 

 

No. 1



โพสกระทู้ ( 9,542 )
บทความ ( 2 )



สถานะออฟไลน์


เวลา insert / update ก็ต้องเขียน ป้องกัน sql injection ด้วยครับ
อย่าเอาตัวแปรไปใช้โดยไม่มีการแปลงค่าให้ถูกต้องก่อน
$id = intval($_POST['id']);
$detail = mysql_real_escape_string( $_POST['detail']);






แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2015-07-03 17:16:05 By : Chaidhanan
 


 

No. 2



โพสกระทู้ ( 586 )
บทความ ( 0 )



สถานะออฟไลน์


ตอบความคิดเห็นที่ : 1 เขียนโดย : Chaidhanan เมื่อวันที่ 2015-07-03 17:16:05
รายละเอียดของการตอบ ::
อออครับ แต่ผมปิดหน้าจอส่วนที่ยิงเข้าตารางดังกล่าว แล้วน่ะครับ สงสัยว่าทำไมมันถึงยังยิงเข้ามาได้อยู่ล่ะครับ

แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2015-07-03 17:40:22 By : nut_ch31
 

 

No. 3



โพสกระทู้ ( 74,058 )
บทความ ( 838 )

สมาชิกที่ใส่เสื้อไทยครีเอท

สถานะออฟไลน์
Twitter Facebook

Spam bot ครับ ลองหา Captcha เข้ามาจัดการ หรือใช้ระบบสมาชิกครับ
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2015-07-03 17:59:16 By : mr.win
 


 

No. 4



โพสกระทู้ ( 1,521 )
บทความ ( 2 )

สมาชิกที่ใส่เสื้อไทยครีเอท Hall of Fame 2012

สถานะออฟไลน์
Facebook

Google RECAPTCHA
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2015-07-03 23:13:56 By : Krungsri
 


 

No. 5



โพสกระทู้ ( 9,542 )
บทความ ( 2 )



สถานะออฟไลน์


ตอบความคิดเห็นที่ : 2 เขียนโดย : nut_ch31 เมื่อวันที่ 2015-07-03 17:40:22
รายละเอียดของการตอบ ::
robot ได้ค่า ฟีลด์ที่ต้องการไปแล้ว และสามารถ update ตารางข้อมูลจากหน้าเพจสำหรับการดูข้อมูลก็ได้ครับ


ตัวอย่างโค๊ด การวิวค่า ที่ผิด ไม่ได้ป้องกัน sql injection
$sql = 'select * from tablename where id='.$_POST['id'] . ' and catid = 123';

ซึ่ง สามารถใส่ค่า $_POST['id'] เข้ามาเป็น 0 or 0; SHOW TABLES; #

เมื่อแทนค่าก็จะเป็น
select * from tablename where id=0 or 0; SHOW TABLES; # and catid = 123';

แยกส่วนการทำงาน
select * from tablename where id=0 or 0; ไม่แสดงข้อมูล เพราะหาไม่เจอ และไม่ต้องการ
SHOW TABLES; แสดงรายชื่อตารางทั้งหมด
# and catid = 123'; หลง # ไม่ทำงาน


เมื่อได้ตารางทั้งหมด ก็จะต่อด้วย
SHOW COLUMNS FROM tablename; แสดงรายชื่อ ฟีลด์ทั้งหมดของตาราง

เสร็จแล้วจะ update เอง
UPDATE tableที่ได้ SET ฟีลด์ที่ได้ = ข้อมูลใหม่

อันนี้เป็นวิธีการแบบคร่าวๆ พอให้รู้ เพื่อจะได้เขียนป้องกันได้เท่านั้นครับ
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2015-07-04 05:46:50 By : Chaidhanan
 


 

No. 6



โพสกระทู้ ( 5,105 )
บทความ ( 4 )

สมาชิกที่ใส่เสื้อไทยครีเอท Hall of Fame 2012

สถานะออฟไลน์


ดีแล้วที่โดยแค่ยิง ผมโดนลบฐานข้อมูลหมด น้ำตาร่วง....ส่วนวิธีแก้มีหลากหลาย
1.ป้องกัน SQL Injection มีให้อ่านเยอะ เช่น https://www.thaicreate.com/community/prevent-php-mysql-sql-injection.html
2.ผมไปหา Class ที่ติดต่อฐานข้อมูลมาใช้แทน สะดวกป้องกันได้ดี เช่น https://www.thaicreate.com/community/php-mysql-connection-class-v2.html
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2015-07-04 08:26:01 By : apisitp
 

   

ค้นหาข้อมูล


   
 

แสดงความคิดเห็น
Re : Database Mysql โดนยิงเข้ามาเรื่อยๆเลยอ่ะครับ ควรแก้อย่างไรดี
 
 
รายละเอียด
 
ตัวหนา ตัวเอียง ตัวขีดเส้นใต้ ตัวมีขีดกลาง| ตัวเรืองแสง ตัวมีเงา ตัวอักษรวิ่ง| จัดย่อหน้าอิสระ จัดย่อหน้าชิดซ้าย จัดย่อหน้ากึ่งกลาง จัดย่อหน้าชิดขวา| เส้นขวาง| ขนาดตัวอักษร แบบตัวอักษร
ใส่แฟลช ใส่รูป ใส่ไฮเปอร์ลิ้งค์ ใส่อีเมล์ ใส่ลิ้งค์ FTP| ใส่แถวของตาราง ใส่คอลัมน์ตาราง| ตัวยก ตัวห้อย ตัวพิมพ์ดีด| ใส่โค้ด ใส่การอ้างถึงคำพูด| ใส่ลีสต์
smiley for :lol: smiley for :ken: smiley for :D smiley for :) smiley for ;) smiley for :eek: smiley for :geek: smiley for :roll: smiley for :erm: smiley for :cool: smiley for :blank: smiley for :idea: smiley for :ehh: smiley for :aargh: smiley for :evil:
Insert PHP Code
Insert ASP Code
Insert VB.NET Code Insert C#.NET Code Insert JavaScript Code Insert C#.NET Code
Insert Java Code
Insert Android Code
Insert Objective-C Code
Insert XML Code
Insert SQL Code
Insert Code
เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

   
  เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง
 
โดย
อีเมล์
บวกค่าให้ถูก
<= ตัวเลขฮินดูอารบิก เช่น 123 (หรือล็อกอินเข้าระบบสมาชิกเพื่อไม่ต้องกรอก)







Exchange: นำเข้าสินค้าจากจีน, Taobao, เฟอร์นิเจอร์, ของพรีเมี่ยม, ร่ม, ปากกา, power bank, แฟลชไดร์ฟ, กระบอกน้ำ

Load balance : Server 00
ThaiCreate.Com Logo
© www.ThaiCreate.Com. 2003-2024 All Rights Reserved.
ไทยครีเอทบริการ จัดทำดูแลแก้ไข Web Application ทุกรูปแบบ (PHP, .Net Application, VB.Net, C#)
[Conditions Privacy Statement] ติดต่อโฆษณา 081-987-6107 อัตราราคา คลิกที่นี่