Forgot Password ??

PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone

	Registered : 109,036

HOME > บทความจากสมาชิก > php เกร็ดเล็กๆน้อยๆ กรองสักนิด ก่อนจะคิดเอาลงฐานข้อมูล

php เกร็ดเล็กๆน้อยๆ กรองสักนิด ก่อนจะคิดเอาลงฐานข้อมูล

php เกร็ดเล็กๆน้อยๆ กรองสักนิด ก่อนจะคิดเอาลงฐานข้อมูล สังเกตเห็นโปรเจ็คน้องๆนักศึกษาหลายคน หรือ โค๊ดของคนที่มาถามปัญหาที่ thaicreate มักจะมองข้ามและไม่ใส่ใจเรื่องความปลอดภัยสักเท่าไหร่

ไม่มีการกรองค่า $_GET หรือ $_POST ก่อนที่จะบันทึก หรือ ไปเช็คในฐานข้อมูล เล่นบันทึกหรือเช็คไปดื้อๆ ตรงๆเลย เห็นแล้วแอบเสียวแทน

ประมาณว่า

Code (PHP)

$sql = "insert into table (id, name,lastname) values('$id','".$_POST['name']."','".$_POST['lastname']."')";
$query = mysql_query($sql);

ง่ายๆ จบแค่นี้ ไม่มีการกรองค่า ของ $_POST['name'] กับ $_POST['lastname'] เลยว่ามีอะไรแปลกปลอมหรือเปล่าที่จะส่งผลเสียต่อระบบเว็บ

เอาแค่ผลกระทบเล็กๆเลย มีคนใส่เครื่องหมายคอมเม้นต์ <!-- ในช่อง name แล้วบันทึกลงฐานข้อมูล แค่นี้ครับ เวลาเรียกข้อมูลมาดู หน้าเว็บทั้งหน้าก็จะเละ เพราะ <!-- ทำให้โค๊ดที่เหลือไม่ประมวลผล

ถ้าเค้าไม่ได้ใส่แค่คอมเม้นต์ละ ใส่เป็นโค๊ด html+javascript ลงไปมันจะเกิดอะไรขึ้น....

มันจะเกิดเป็น XSS (Cross Site Scripting) นะสิครับ เว็บถูกโจมตี ถูกแฮกค์

แบบนี้เห็นมาหลายเว็บ หลายระบบ

วิธีแก้คือ กรองด้วย strip_tags() ตัดแท็ก html ทิ้ง หรือ แปลงพวก < " ' > / ให้เป็นชื่อด้วย htmlspecialchars() ประมาณนี้

Code (PHP)

$name = htmlspecialchars(strip_tags($_POST['name']));

ถึงแม้จะมี คำสั่ง magic_quotes_gpc ช่วยใส่ \ หน้า ' แบบอัตโนมัติ ก็ตาม มันก็ช่วยกันแค่บางอย่างเท่านั้น
ก่อนที่จะบันทึกลงฐานข้อมูล แค่นี้ไม่ยากเลย แต่ปลอดภัยมโหฬาร

การรับค่าใดๆจาก input select checkbox radio textarea ควรกรองทุกครั้ง เพราะ internet มีความเสี่ยง ควรศึกษาก่อนใช้

อีกอย่างก็คือระบบ login ที่ไม่กรอง และ php.ini ไม่ได้เปิด magic_quotes_gpc หรือเราไม่ได้ใช้ mysql_real_escape_string()

เค้าจะ login ผ่านง่ายด้วย sql injection (ใส่คำสั่ง sql ลงไป ให้เงื่อนไขเป็น true หรือ....)

งั้นควรกรองก่อนบันทึก

ปล. หากใครไม่กรอก ลองใส่ <!-- ใน input สักช่อง ในหน้าฟอร์มเพิ่มข้อมูล แล้วบันทึก ลองไปดูหน้ารายงานดู หน้าตาเป็นไง


	By :	โปรแกรมมั่ว
	Article :	บทความเป็นการเขียนโดยสมาชิก หากมีปัญหาเรื่องลิขสิทธิ์ กรุณาแจ้งให้ทาง webmaster ทราบด้วยครับ
	Score Rating :
	Create Date :	2012-02-16
	Download :	No files

Sponsored Links

สอน Windows Phone การเขียนโปรแกรม Windows Phone 7 และ 8

สอน Java GUI การเขียนโปรแกรม ภาษา Java GUI

Free Tutorial

	สอน Google Maps Api
	สอน Windows Service
	สอน Entity Framework
	สอน Android
	สอน Java เขียน Java
	Java GUI Swing
	สอน JSP (Web App)
	iOS (iPhone,iPad)
	Windows Phone
	Windows Azure
	Windows Store
	Laravel Framework
	Yii PHP Framework
	สอน jQuery
	สอน jQuery กับ Ajax
	สอน PHP OOP (Vdo)
	Ajax Tutorials
	SQL Tutorials
	สอน SQL (Part 2)
	JavaScript Tutorial
	Javascript Tips
	VBScript Tutorial
	VBScript Validation
	Microsoft Access
	MySQL Tutorials
	-- Stored Procedure
	MariaDB Database
	SQL Server Tutorial
	SQL Server 2005
	SQL Server 2008
	SQL Server 2012
	-- Stored Procedure
	Oracle Database
	-- Stored Procedure
	SVN (Subversion)
	แนวทางการทำ SEO
	ปรับแต่งเว็บให้โหลดเร็ว