|
 |
| |
สอบถามเรื่อง sql injection กับ pdo หน่อยครับว่าสามารถป้องกันได้ไหม |
| |
 |
|
|
 |
 |
|
ณ ตอนนี้ PDO กัน sql injection ได้แน่นอนครับ 
|
 |
 |
 |
 |
| Date :
2015-08-29 17:01:06 |
By :
nPointXer |
|
 |
 |
 |
 |
|
|
 |
 |
|
 |
 |
| |
|
|
|
| |
|
กันได้แน่นอนครับ แค่อย่าต่อ string เองก็แล้วกัน ใช้ฟังก์ชั่น prepare bind อะไรพวกนี้ครับ
|
| |
|
|
| |
| Date :
2015-08-29 17:12:48 |
By :
NewbiePHP |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
เล่าเฉพาะ กับ mysql ละกัน
เท่าที่ลองจำลองการทำงานง่ายๆ
- ใช้การเขียน sql หลวมสุดๆ เช่น select xx,yy from zzz where aa = $_POST['aa']
หลายๆแบบทั้งใส่ quote และไม่ใส่ ไม่มีกรอง input อะไร แบบว่า GET POST มา ก็เข้าเงื่อนไขเลย
และลองใช้กับ กลุ่มฟังก์ชัน mysql_* ธรรมดา
ลอง injection ในแบบ ที่คิดว่าคนทั่วๆไป พอจะรู้
---ไม่ผ่านครับ ถ้า php +mysql version ปัจจุบันหน่อย (เวอร์ชั่นก่อนๆ เก่าๆ ผ่าน)
php & mysql ตัวใหม่ๆ ทางทีมเค้าเข้าใจเรื่องนี้ดี ว่าเราหละหลวม เลยป้องกันโดยปริยายคร่าวๆไว้
ถ้าไม่ใช่ระดับทุกรอยหยักมีแต่ byte code ก็พออุ่นใจได้ครับ
|
| |
|
|
| |
| Date :
2015-08-30 02:49:17 |
By :
triplea |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
ขอบคุณทุกท่านมากครับ ผมรบกวนถามต่ออีกนิดนอกจาก sql injection แล้วยังมีส่วนไหนที่ผมควรจะต้องระวังใน web app อีกบ้างครับ
|
| |
|
|
| |
| Date :
2015-08-30 10:59:28 |
By :
oknaja |
|
|
| |
|
|
|
|
|
| |
|
|
|
|
|
| |
|
 Load balance : Server 05
|
