Register Register Member Login Member Login Member Login Forgot Password ??
PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone
 

Registered : 109,038

HOME > PHP > PHP Forum > รบกวนช่วยดู Code ให้หน่อยครับว่าเขียน Code แบบนี้สามารถป้องกัน sql injection ได้หรือเปล่า


[PHP] รบกวนช่วยดู Code ให้หน่อยครับว่าเขียน Code แบบนี้สามารถป้องกัน sql injection ได้หรือเปล่า

 
Topic : 136499



โพสกระทู้ ( 16 )
บทความ ( 0 )



สถานะออฟไลน์



Code (PHP)
01.<?  
02.        switch ($command){
03.      case "ADD_Sec":
04.                if ($_FILES['file']['size']>0) {
05.                 //if ($file!="") {
06.                $JFile=$_FILES['file']['name'];
07.                $realname =date("dmYss").$JFile;   
08.                if (copy ($_FILES['file']['tmp_name'],"files/$realname")) {}
09.                }                                  
10.        $sql1="SELECT *  FROM  omp  ORDER BY sort  DESC  ";
11.        $query=mysql_query($sql1);
12.        $row=mysql_fetch_array($query);
13.        $SORTID = $row[sort]+1 ;
14.         $sql="INSERT INTO opm SET name_b='$name_b',Position='$Position',url='$url',file='$realname',sort ='$SORTID',add_date=NOW()";
15.         $query=mysql_query($sql);
16.         if($query){
17.        echo "<script>alert('บันทึกข้อมูลเรียบร้อยแล้วค่ะ');window.opener.location.reload(); window.close();</script>";
18.         }else{
19.        echo "<script>alert('ไม่สามารถบันทึกข้อมูลได้ค่ะ');window.opener.location.reload(); window.close();</script>";
20.         }
21.      break;
22.      case "EDIT_Sec":
23.        if ($_FILES['file']['size']>0) {
24.                $JFile2=$_FILES['file']['name'];
25.                //$JFile2 =substr($JFile2, -4);    
26.                $realname2 =date("dsmssYs").$JFile2;   
27.                if (copy ($_FILES['file']['tmp_name'],"files/$realname2")) {$where_2=" , file='$realname2' ";}                     
28.             }
29.         $sql="UPDATE omp  SET name_b='$name_b',Position='$Position',url='$url' WHERE idb ='".mysql_real_escape_string($idb)."'"
30.     // echo ($sql);
31.         $query=mysql_query($sql);
32.         if($query){
33.            echo "<script>alert('แก้ไขข้อมูลเรียบร้อยแล้วค่ะ');window.opener.location.reload(); window.close();</script>";
34.         }else{
35.                echo "<script>alert('ไม่สามารถแก้ไขข้อมูลได้ค่ะ');window.opener.location.reload(); window.close();</script>";
36.         }
37.      break;
38.      case "DELSEC":
39.         $sql="DELETE  FROM omp WHERE idb ='".mysql_real_escape_string($idb)."'"
40.         $query=mysql_query($sql);
41.         if($query){
42.            @unlink("files/$file");
43.                 showMessage("ลบข้อมูลเรียบร้อยแล้วค่ะ","list_menu_cat.php?Position=$Position");
44.          }else{
45.             showMessage("ไม่สามารถลบข้อมูลได้ค่ะ","list_menu_cat.php?idb=$idb");
46.         }
47.      break;
48.      case "UPDATESTATUS":
49.         if($now_status=="Y"){
50.            $new_status="N";
51.         }else{
52.           $new_status="Y";
53.         }
54.         $sql="UPDATE omp SET h_show='$new_status' WHERE idb ='".mysql_real_escape_string($idb)."'"
55.         $query=mysql_query($sql);
56.         if($query){
57.            echo "<script>alert('เปลี่ยนสถานนะเรียบร้อยแล้วค่ะ');window.opener.location.reload(); window.close();</script>";
58.         }else{
59.            echo "<script>alert('ไม่สามารถเปลี่ยนสถานะได้ค่ะ');window.opener.location.reload(); window.close();</script>";
60.         }
61.    }
62. 
63.?>




Tag : PHP



ประวัติการแก้ไข
2021-11-22 19:08:30
2021-11-22 19:09:09
Move To Hilight (Stock) 
Send To Friend.Bookmark.
Date : 2021-11-22 08:57:31 By : sannoi371 View : 533 Reply : 6
 

 

No. 1



โพสกระทู้ ( 4,765 )
บทความ ( 8 )



สถานะออฟไลน์


คลุมแท็ก php ได้ไหม?
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2021-11-22 09:51:22 By : mr.v
 

 

No. 2



โพสกระทู้ ( 16 )
บทความ ( 0 )



สถานะออฟไลน์


ตอบความคิดเห็นที่ : 1 เขียนโดย : mr.v เมื่อวันที่ 2021-11-22 09:51:22
รายละเอียดของการตอบ ::
... แก้ให้แล้วนะครับ รบกวนดูให้หน่อยนะครับ ขอบคุณครับ.......


Code (PHP)
01.<?  
02.        switch ($command){
03.      case "ADD_Sec":
04.                if ($_FILES['file']['size']>0) {
05.                 //if ($file!="") {
06.                $JFile=$_FILES['file']['name'];
07.                $realname =date("dmYss").$JFile;   
08.                if (copy ($_FILES['file']['tmp_name'],"files/$realname")) {}
09.                }                                  
10.        $sql1="SELECT *  FROM  omp  ORDER BY sort  DESC  ";
11.        $query=mysql_query($sql1);
12.        $row=mysql_fetch_array($query);
13.        $SORTID = $row[sort]+1 ;
14.         $sql="INSERT INTO opm SET name_b='$name_b',Position='$Position',url='$url',file='$realname',sort ='$SORTID',add_date=NOW()";
15.         $query=mysql_query($sql);
16.         if($query){
17.        echo "<script>alert('บันทึกข้อมูลเรียบร้อยแล้วค่ะ');window.opener.location.reload(); window.close();</script>";
18.         }else{
19.        echo "<script>alert('ไม่สามารถบันทึกข้อมูลได้ค่ะ');window.opener.location.reload(); window.close();</script>";
20.         }
21.      break;
22.      case "EDIT_Sec":
23.        if ($_FILES['file']['size']>0) {
24.                $JFile2=$_FILES['file']['name'];
25.                //$JFile2 =substr($JFile2, -4);    
26.                $realname2 =date("dsmssYs").$JFile2;   
27.                if (copy ($_FILES['file']['tmp_name'],"files/$realname2")) {$where_2=" , file='$realname2' ";}                     
28.             }
29.         $sql="UPDATE omp  SET name_b='$name_b',Position='$Position',url='$url' WHERE idb ='".mysql_real_escape_string($idb)."'"
30.     // echo ($sql);
31.         $query=mysql_query($sql);
32.         if($query){
33.            echo "<script>alert('แก้ไขข้อมูลเรียบร้อยแล้วค่ะ');window.opener.location.reload(); window.close();</script>";
34.         }else{
35.                echo "<script>alert('ไม่สามารถแก้ไขข้อมูลได้ค่ะ');window.opener.location.reload(); window.close();</script>";
36.         }
37.      break;
38.      case "DELSEC":
39.         $sql="DELETE  FROM omp WHERE idb ='".mysql_real_escape_string($idb)."'"
40.         $query=mysql_query($sql);
41.         if($query){
42.            @unlink("files/$file");
43.                 showMessage("ลบข้อมูลเรียบร้อยแล้วค่ะ","list_menu_cat.php?Position=$Position");
44.          }else{
45.             showMessage("ไม่สามารถลบข้อมูลได้ค่ะ","list_menu_cat.php?idb=$idb");
46.         }
47.      break;
48.      case "UPDATESTATUS":
49.         if($now_status=="Y"){
50.            $new_status="N";
51.         }else{
52.           $new_status="Y";
53.         }
54.         $sql="UPDATE omp SET h_show='$new_status' WHERE idb ='".mysql_real_escape_string($idb)."'"
55.         $query=mysql_query($sql);
56.         if($query){
57.            echo "<script>alert('เปลี่ยนสถานนะเรียบร้อยแล้วค่ะ');window.opener.location.reload(); window.close();</script>";
58.         }else{
59.            echo "<script>alert('ไม่สามารถเปลี่ยนสถานะได้ค่ะ');window.opener.location.reload(); window.close();</script>";
60.         }
61.    }
62. 
63.?>

แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2021-11-22 19:10:12 By : sannoi371
 

 

No. 3



โพสกระทู้ ( 4,765 )
บทความ ( 8 )



สถานะออฟไลน์


1. เขาให้เลิกใช้ mysql_xxx function มานานมากกกกกกกแล้วนะครับ กระทู้ก็ปักอยู่ด้านบนสุด https://www.thaicreate.com/php/forum/095986.html <-- อันนี้.

2. ตัวแปรหลายตัวไม่มีที่มาเลย อยู่ๆนึกจะเรียกใช้ก็เรียก เช่น $Position, $url ที่ไม่เจอ error เพราะไปปิด error อยู่แหงๆ. วิธีเขียนโปรแกรมโดยปิด error นั้นผิด!! ควรจะเปิดซะให้หมดเพื่อแก้ไขระวังช่องโหว่และข้อผิดพลาดต่างๆได้ดีขึ้น.

3. การต่อสตริงนั้นไม่ควรเลย โดยเฉพาะอย่างยิ่งหลายๆตัวไม่มีแม้แต่การ escape เพราะฉะนั้นไม่รอด SQL injection.

4. การป้องกัน SQL injection ที่ดีที่สุดคือใช้ prepare ไม่ใช่ escape string. อ่านเพิ่มเติม -> https://stackoverflow.com/questions/60174/how-can-i-prevent-sql-injection-in-php
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2021-11-22 19:18:02 By : mr.v
 

 

No. 4



โพสกระทู้ ( 4,765 )
บทความ ( 8 )



สถานะออฟไลน์


การย้ายไฟล์ upload ก็ควรใช้ฟังก์ชั่นของมัน ไม่ใช่ใช้ copy();

https://www.thaicreate.com/php/forum/033114.html
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2021-11-22 19:22:35 By : mr.v
 

 

No. 5



โพสกระทู้ ( 16 )
บทความ ( 0 )



สถานะออฟไลน์


ตอบความคิดเห็นที่ : 3 เขียนโดย : mr.v เมื่อวันที่ 2021-11-22 19:18:02
รายละเอียดของการตอบ ::
สามารถแก้ได้ยังไงบ้างครับ ใน code

แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2021-11-22 20:49:14 By : sannoi371
 

 

No. 6



โพสกระทู้ ( 4,765 )
บทความ ( 8 )



สถานะออฟไลน์


ตอบความคิดเห็นที่ : 5 เขียนโดย : sannoi371 เมื่อวันที่ 2021-11-22 20:49:14

แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2021-11-22 21:23:35 By : mr.v
 

   

ค้นหาข้อมูล


   
 

แสดงความคิดเห็น
Re : รบกวนช่วยดู Code ให้หน่อยครับว่าเขียน Code แบบนี้สามารถป้องกัน sql injection ได้หรือเปล่า
 
 
รายละเอียด
 
ตัวหนา ตัวเอียง ตัวขีดเส้นใต้ ตัวมีขีดกลาง| ตัวเรืองแสง ตัวมีเงา ตัวอักษรวิ่ง| จัดย่อหน้าอิสระ จัดย่อหน้าชิดซ้าย จัดย่อหน้ากึ่งกลาง จัดย่อหน้าชิดขวา| เส้นขวาง| ขนาดตัวอักษร แบบตัวอักษร
ใส่แฟลช ใส่รูป ใส่ไฮเปอร์ลิ้งค์ ใส่อีเมล์ ใส่ลิ้งค์ FTP| ใส่แถวของตาราง ใส่คอลัมน์ตาราง| ตัวยก ตัวห้อย ตัวพิมพ์ดีด| ใส่โค้ด ใส่การอ้างถึงคำพูด| ใส่ลีสต์
smiley for :lol: smiley for :ken: smiley for :D smiley for :) smiley for ;) smiley for :eek: smiley for :geek: smiley for :roll: smiley for :erm: smiley for :cool: smiley for :blank: smiley for :idea: smiley for :ehh: smiley for :aargh: smiley for :evil:
Insert PHP Code
Insert ASP Code
Insert VB.NET Code Insert C#.NET Code Insert JavaScript Code Insert C#.NET Code
Insert Java Code
Insert Android Code
Insert Objective-C Code
Insert XML Code
Insert SQL Code
Insert Code
เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

   
  เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง
 
โดย
อีเมล์
บวกค่าให้ถูก
<= ตัวเลขฮินดูอารบิก เช่น 123 (หรือล็อกอินเข้าระบบสมาชิกเพื่อไม่ต้องกรอก)





ThaiCreate.Com Logo
© www.ThaiCreate.Com. 2003-2025 All Rights Reserved.
ไทยครีเอทบริการ จัดทำดูแลแก้ไข Web Application ทุกรูปแบบ (PHP, .Net Application, VB.Net, C#)
[Conditions Privacy Statement] ติดต่อโฆษณา 081-987-6107 อัตราราคา คลิกที่นี่