Register Register Member Login Member Login Member Login Forgot Password ??
PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone
 

Registered : 109,027

HOME > PHP > PHP Forum > อยากทราบวิธีป้องกัน Code PHP ไม่ให้คนเข้าไปแก้ไข หรือป้องกัน SQL injection



 

อยากทราบวิธีป้องกัน Code PHP ไม่ให้คนเข้าไปแก้ไข หรือป้องกัน SQL injection

 



Topic : 132271



โพสกระทู้ ( 21 )
บทความ ( 0 )



สถานะออฟไลน์




ตามหัวข้อเลยครับ ถ้าเรา มีไฟล์ config.php เราสามารถป้องกันการแก้ไข Code ได้ไหมครับ หรือมีวิธีป้องกันอย่างไรบ้าง



Tag : PHP







Move To Hilight (Stock) 
Send To Friend.Bookmark.
Date : 2018-10-08 20:39:14 By : AloneSpace View : 1073 Reply : 7
 

 

No. 1



โพสกระทู้ ( 9,542 )
บทความ ( 2 )



สถานะออฟไลน์


ป้องกันที่คำสั่งคิวรี่ครับ

พยายามใช้เครื่องมือของ database service ในการคิวรี่

พวกคำสั่ง prepare






แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2018-10-08 22:14:59 By : Chaidhanan
 


 

No. 2



โพสกระทู้ ( 74,058 )
บทความ ( 838 )

สมาชิกที่ใส่เสื้อไทยครีเอท

สถานะออฟไลน์
Twitter Facebook

=> PHP MySQL Prepared Statement / Parameter Query (mysqli)
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2018-10-09 09:29:35 By : mr.win
 

 

No. 3



โพสกระทู้ ( 21 )
บทความ ( 0 )



สถานะออฟไลน์


แสดงว่า คำสั่งนี้ไม่ปลอดภัยใช่ไหมครับ

Code (PHP)
    <?
	  
	 $query = "SELECT * FROM history_topup ORDER by balance DESC LIMIT 5";
	 $result = mysqli_query($con,$query);
		 while ($row = mysqli_fetch_array($result)) {
			 $player = $row['player'];
			 $balance = $row['balance'];
			 echo "<tr><td><img src='https://minotar.net/avatar/$player' width='32' height='32'></td><td>$player</td><td><center>$balance</center></td></tr>";
		 }
	 
	 ?>

แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2018-10-09 14:32:48 By : AloneSpace
 


 

No. 4



โพสกระทู้ ( 9,542 )
บทความ ( 2 )



สถานะออฟไลน์


ถ้าเป็น hard code ไม่ใช้ ตัวแปร ยังไงก็ปลอดภัยครับ เพราะเรากำหนดเอง

แต่ถ้าเป็น ตัวแปรที่ request เข้ามา แล้วนำมาใช้งาน ตรงนี้ถีงจำเป็นต้องดูแลเป็นพิเศษ
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2018-10-09 16:36:31 By : Chaidhanan
 


 

No. 5



โพสกระทู้ ( 21 )
บทความ ( 0 )



สถานะออฟไลน์


ไม่ทราบว่า Code นี้มีส่วนไหนผิดไหมครับ

Code (PHP)
$con = new mysqli($servername,$server_user,$server_password,$mysql_dbname);
$nick = $_POST['nick'];
$amount = PriceAmount();
if(Refill($_POST['tm_card'])==1){//ส่งเลขบัตรทรูวอเลตถ้าถูกต้องจะส่งค่ากลับมาเปนเลข 1
echo '<script> swal("เติมเงินสำเร็จ", "ชื่อผู้ใช้ : '.$nick.'<br>รหัสบัตรทรู : '.$_POST['tm_card'].'<br>จำนวนเงิน : '.$amount.'", "success");</script>';
$sql_addpoint = "UPDATE coins_data SET 
                    balance=?
					WHERE nick=?";
$stmt_addpoint = $con->prepare($sql_addpoint);
$stmt_addpoint->bind_param('ds',$amount,$nick);
$stmt_addpoint->execute();
$stmt_addpoint->close();
$sql_check_addhistory_topup = "SELECT * FROM history_topup WHERE player=?";
$stmt_check_addhistory_topup = $con->prepare($sql_check_addhistory_topup);
$stmt_check_addhistory_topup->bind_param('s',$nick);
$stmt_check_addhistory_topup->execute();
	if (($numrows = $stmt_check_addhistory_topup->num_rows) > 0) {
			$sql_addtopup = "UPDATE history_topup SET
									balance=?
									WHERE player=?";
			$stmt_addtopup = $con->prepare($sql_addtopup);
			$stmt_addtopup->bind_param('ds',$amount,$nick);
			$stmt_addtopup->execute();
			$stmt_addtopup->close();
		} else {
			$sql_addhistory_topup = "INSERT INTO history_topup (player, balance) VALUES (?, ?)";
			$stmt_addhistory_topup = $con->prepare($sql_addhistory_topup);
            $stmt_addhistory_topup->bind_param('sd',$nick,$amount);
            $stmt_addhistory_topup->execute();
            $stmt_addhistory_topup->close();			
}
  $stmt_check_addhistory_topup->close();
  $con->close();
} else {
 echo '<script> swal("เติมเงินไม่สำเร็จ", "คุณ '.$nick.' รหัสบัตรทรู '.$_POST['tm_card'].' ไม่ถูกต้อง", "error");</script>';
 $sql_addtruemoneytopup = "INSERT INTO truemoney_topup (tm_card,nick,balance) VALUES (?, ?, ?)";
 $stmt_addtruemoneytopup = $con->prepare($sql_addtruemoneytopup);
 $stmt_addtruemoneytopup->bind_param('dsd',$_POST['tm_card'],$nick,$amount);
 $stmt_addtruemoneytopup->execute();
 $stmt_addtruemoneytopup->close();
 $con->close();
}

แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2018-10-09 17:45:32 By : AloneSpace
 


 

No. 6



โพสกระทู้ ( 21 )
บทความ ( 0 )



สถานะออฟไลน์


ถ้าสมมุติผม request ตัวแปรในรูปแบบ String ผมจะเข้ารหัส hash ยังไงอะครับ ให้ปลอดภัย นี้คือไฟล์ config.php
Code (PHP)
<?php

debug_backtrace() || die ("<h2>Access Denied!</h2> This file is protected and not available to public.<br><a href='/mc-just/index.php'>Enter to HomePage</a>");

//Title เว็บ Site
$Cfg["web"]["title"] = "MC-JUST"; 

//Token URL
$download_page = isset($_GET['download_page']) ? $_GET['download_page'] : '';

//news
$news['1'] = "เซิฟเวอร์ได้เปิดแล้ว";
$news['2'] = "รอการอัพเดต....";
$news['3'] = "รอการอัพเดต....";
$news['4'] = "รอการอัพเดต....";
$news['5'] = "รอการอัพเดต....";

//Databate
$servername = 'localhost';
$server_user = 'root';
$server_password = 'XXX';
$mysql_dbname = 'minecraft';
$mysql_table = "coins_data";
$mysql_field_username = "nick";
$mysql_point_field_name = "balance";

//TrueWallet
$tw_email = "[email protected]";
$tw_pass = "XXX";


?>

แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2018-10-09 18:12:12 By : AloneSpace
 


 

No. 7



โพสกระทู้ ( 9,542 )
บทความ ( 2 )



สถานะออฟไลน์


ตอบความคิดเห็นที่ : 5 เขียนโดย : AloneSpace เมื่อวันที่ 2018-10-09 17:45:32
รายละเอียดของการตอบ ::
algorithm และ function ที่ใช้งาน ok ครับ


ตอบความคิดเห็นที่ : 6 เขียนโดย : AloneSpace เมื่อวันที่ 2018-10-09 18:12:12
รายละเอียดของการตอบ ::
จะเอา string ไปทำอะไรครับ บางทีก็ไม่จำเป็น

แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2018-10-10 06:25:53 By : Chaidhanan
 

   

ค้นหาข้อมูล


   
 

แสดงความคิดเห็น
Re : อยากทราบวิธีป้องกัน Code PHP ไม่ให้คนเข้าไปแก้ไข หรือป้องกัน SQL injection
 
 
รายละเอียด
 
ตัวหนา ตัวเอียง ตัวขีดเส้นใต้ ตัวมีขีดกลาง| ตัวเรืองแสง ตัวมีเงา ตัวอักษรวิ่ง| จัดย่อหน้าอิสระ จัดย่อหน้าชิดซ้าย จัดย่อหน้ากึ่งกลาง จัดย่อหน้าชิดขวา| เส้นขวาง| ขนาดตัวอักษร แบบตัวอักษร
ใส่แฟลช ใส่รูป ใส่ไฮเปอร์ลิ้งค์ ใส่อีเมล์ ใส่ลิ้งค์ FTP| ใส่แถวของตาราง ใส่คอลัมน์ตาราง| ตัวยก ตัวห้อย ตัวพิมพ์ดีด| ใส่โค้ด ใส่การอ้างถึงคำพูด| ใส่ลีสต์
smiley for :lol: smiley for :ken: smiley for :D smiley for :) smiley for ;) smiley for :eek: smiley for :geek: smiley for :roll: smiley for :erm: smiley for :cool: smiley for :blank: smiley for :idea: smiley for :ehh: smiley for :aargh: smiley for :evil:
Insert PHP Code
Insert ASP Code
Insert VB.NET Code Insert C#.NET Code Insert JavaScript Code Insert C#.NET Code
Insert Java Code
Insert Android Code
Insert Objective-C Code
Insert XML Code
Insert SQL Code
Insert Code
เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

   
  เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง
 
โดย
อีเมล์
บวกค่าให้ถูก
<= ตัวเลขฮินดูอารบิก เช่น 123 (หรือล็อกอินเข้าระบบสมาชิกเพื่อไม่ต้องกรอก)







Exchange: นำเข้าสินค้าจากจีน, Taobao, เฟอร์นิเจอร์, ของพรีเมี่ยม, ร่ม, ปากกา, power bank, แฟลชไดร์ฟ, กระบอกน้ำ

Load balance : Server 01
ThaiCreate.Com Logo
© www.ThaiCreate.Com. 2003-2024 All Rights Reserved.
ไทยครีเอทบริการ จัดทำดูแลแก้ไข Web Application ทุกรูปแบบ (PHP, .Net Application, VB.Net, C#)
[Conditions Privacy Statement] ติดต่อโฆษณา 081-987-6107 อัตราราคา คลิกที่นี่