Register Register Member Login Member Login Member Login Forgot Password ??
PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone
 

Registered : 107,936

HOME > Community Zone > Forum > sql injection....คือถ้าเราจะป้องกันการโจมตีแบบ sql injection นี่ควรใช้วิธีไหนดีครับ



 

sql injection....คือถ้าเราจะป้องกันการโจมตีแบบ sql injection นี่ควรใช้วิธีไหนดีครับ

 



Topic : 045274



โพสกระทู้ ( 308 )
บทความ ( 0 )



สถานะออฟไลน์
Facebook Blogger



ขอถามพี่ๆ ที่มีทั้งความรู้และประสบการณ์เยอะๆ ในนี้หน่อยนะครับ...
คือถ้าเราจะป้องกันการโจมตีแบบ sql injection นี่ควรใช้วิธีไหนดีครับ ถาม google แล้วพี่แกบอกมาซะหลายวิธี ผมก็เลยอยากรู้ว่าวิธีไหนมันดี หรือพี่ๆ ใช้วิธีไหนอยู่ครับ



Tag : - - - -







Move To Hilight (Stock) 
Send To Friend.Bookmark.
Date : 2010-07-11 06:04:41 By : blacklion View : 3411 Reply : 6
 

 

No. 1



โพสกระทู้ ( 74,023 )
บทความ ( 838 )

สมาชิกที่ใส่เสื้อไทยครีเอท

สถานะออฟไลน์
Twitter Facebook

ง่ายสุดก็จะต้องตรวจสอบค่าครับ เช่นห้ามใส่เครื่องหมาย ' , = ก็น่าจะสามารถป้องกันได้แล้วครับ






Date : 2010-07-11 06:40:20 By : webmaster
 


 

No. 2



โพสกระทู้ ( 308 )
บทความ ( 0 )



สถานะออฟไลน์
Facebook Blogger

ครับ...คนอื่นล่ะครับ ว่าไง
Date : 2010-07-11 06:50:23 By : blacklion
 

 

No. 3



โพสกระทู้ ( 1,603 )
บทความ ( 1 )



สถานะออฟไลน์


กรณี .net ให้เปลี่ยนมาใช้ command parameter ค่ะสร้างมาเพื่อการนี้โดยเฉพาะ
ประเภท
Code (VB.NET)
Dim sqlStr = "SELECT * FROM [user] WHERE [name]='" &  nameStr & "'" _
   & " AND [Password] ='"  & PassStr & "' " 

โดนอยู่แล้วค่ะเต็มๆ

ส่วนถ้าเป็น Command parameter จะประมาณนี้

Dim sqlStr = "SELECT * FROM [user] WHERE ([name][email protected]) AND ([Password] = @Password) "
Dim myCommand As SqlCommand = New SqlCommand( sqlStr ,myConn )

myCommand.Parameter.AddWithValue("@Name" ,UserNameStr) 
myCommand.Parameter.AddWithValue("@Password" ,PasswordStr) 


SQL INJECTION จะใช้ไม่ได้เลยค่ะ
Date : 2010-07-11 14:05:25 By : blurEyes
 


 

No. 4

Guest


ถ้าใช้ pdo ได้ก็ใช้ตัวนี้ครับ หรือ adodb class ก็ได้ครับ
ดูตัวอย่างนี้จะไม่ใส่ตัวแปรเข้าไปสร้าง sql เองโดยตรงครับ
http://www.firstmeditech.com/cakephp/post/adodb-class-tutorial

ถ้าอยากจะเขียนแบบดีเป็นระเบียบจริงๆ แนะนำ yii framework ครับ
ผมว่าโครงสร้างหลักเค้าออกแบบดีกว่า cakephp framework พอสมควรครับ
Date : 2010-07-13 13:52:23 By : num
 


 

No. 5



โพสกระทู้ ( 28 )
บทความ ( 0 )



สถานะออฟไลน์


แล้วถ้าเป็น php ละคับทำไงดี
Date : 2010-07-19 11:31:07 By : cron
 


 

No. 6



โพสกระทู้ ( 3,468 )
บทความ ( 0 )

สมาชิกที่ใส่เสื้อไทยครีเอท

สถานะออฟไลน์
Twitter

ก็ escape string แค่นั้นคับ ให้รู้ว่ามันเป็นสตริง ปรกติถ้าเขียนรัดกุม ก็ไม่มีปัญหากันครับ ในกรณีที่ php ไม่ escape ให้อัตโนมัติ
Date : 2010-07-19 16:00:53 By : pjgunner
 

   

ค้นหาข้อมูล


   
 

แสดงความคิดเห็น
Re : sql injection....คือถ้าเราจะป้องกันการโจมตีแบบ sql injection นี่ควรใช้วิธีไหนดีครับ
 
 
รายละเอียด
 
ตัวหนา ตัวเอียง ตัวขีดเส้นใต้ ตัวมีขีดกลาง| ตัวเรืองแสง ตัวมีเงา ตัวอักษรวิ่ง| จัดย่อหน้าอิสระ จัดย่อหน้าชิดซ้าย จัดย่อหน้ากึ่งกลาง จัดย่อหน้าชิดขวา| เส้นขวาง| ขนาดตัวอักษร แบบตัวอักษร
ใส่แฟลช ใส่รูป ใส่ไฮเปอร์ลิ้งค์ ใส่อีเมล์ ใส่ลิ้งค์ FTP| ใส่แถวของตาราง ใส่คอลัมน์ตาราง| ตัวยก ตัวห้อย ตัวพิมพ์ดีด| ใส่โค้ด ใส่การอ้างถึงคำพูด| ใส่ลีสต์
smiley for :lol: smiley for :ken: smiley for :D smiley for :) smiley for ;) smiley for :eek: smiley for :geek: smiley for :roll: smiley for :erm: smiley for :cool: smiley for :blank: smiley for :idea: smiley for :ehh: smiley for :aargh: smiley for :evil:
Insert PHP Code
Insert ASP Code
Insert VB.NET Code Insert C#.NET Code Insert JavaScript Code Insert C#.NET Code
Insert Java Code
Insert Android Code
Insert Objective-C Code
Insert XML Code
Insert SQL Code
Insert Code
เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

   
  เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง
 
โดย
อีเมล์
บวกค่าให้ถูก
<= ตัวเลขฮินดูอารบิก เช่น 123 (หรือล็อกอินเข้าระบบสมาชิกเพื่อไม่ต้องกรอก)







Exchange: Voake, Comcube, รับทำเว็บไซต์ รับเขียนโปรแกรม

Load balance : Server 02
ThaiCreate.Com Logo
© www.ThaiCreate.Com. 2003-2019 All Rights Reserved.
ไทยครีเอทบริการ จัดทำดูแลแก้ไข Web Application ทุกรูปแบบ (PHP, .Net Application, VB.Net, C#)
[Conditions Privacy Statement] ติดต่อโฆษณา 081-987-6107 , 08-9968-0655 อัตราราคา คลิกที่นี่