Register Register Member Login Member Login Member Login Forgot Password ??
PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone
 

Registered : 109,037

HOME > บทความจากสมาชิก > สิ่งที่ทุกคนต้องรู้ ในการเขียนโปรแกรมด้วย PHP กับ MySQL หากไม่อยากให้ระบบที่เขียนนั้นถูก HACK ได้ !!!



 
Clound SSD Virtual Server

สิ่งที่ทุกคนต้องรู้ ในการเขียนโปรแกรมด้วย PHP กับ MySQL หากไม่อยากให้ระบบที่เขียนนั้นถูก HACK ได้ !!!



ติดตามบทความล่าสุดของผู้เขียนได้ที่ phpinfo() Facebook Page



สิ่งที่ทุกคนต้องรู้ ในการเขียนโปรแกรมด้วย PHP กับ MySQL หากไม่อยากให้ระบบที่เขียนนั้นถูก HACK ได้ !!!

การเขียนโปรแกรมติดต่อกับฐานข้อมูลนั้น จะต้องมีการสั่งให้ PHP อ่านหรือเพิ่มเติมแก้ไขข้อมูลในฐานข้อมูล ซึ่งมักจะต้องเกี่ยวพันกับข้อมูลที่รับมาจากผู้ใช้ เพื่อที่จะทำการค้นหา หรือเปลี่ยนแปลงข้อมูล ซึ่งตัวอย่างที่พบเห็นได้ทั่วไป จะคล้ายๆ แบบนี้

$sql = "SELECT * FROM `member` WHERE `username` = '$_POST[username]' AND `password` = '$_POST[password]'"; $result = mysql_query($sql); if (!$result) { die(mysql_error()); } $user = mysql_fetch_array($result);

โค้ดดังกล่าวเป็นระบบ login เพื่อค้นหาบัญชีผู้ใช้ในระบบ และตรวจว่ารหัสผ่านตรงหรือไม่
หากเจอบัญชีผู้ใช้ และรหัสผ่านตรงกับที่ส่งมา ก็จะดำเนินการต่อไป

จะเห็นได้ว่า มีการรับข้อมูลจากผู้ใช้ ($_POST['username'] และ $_POST['password'])
และนำไปประกอบกับ query โดยตรง
ซึ่งโค้ดลักษณะนี้เสี่ยงต่อการกระทำที่เรียกว่า SQL Injection ครับ



มาดูกันว่า SQL Injection เป็นอย่างไร

สมมติว่าเรา login ด้วย
username: cookiephp password: 0123456789


ก็จะได้ตัวแปร $sql ที่มีค่า

SELECT * FROM `member` WHERE `username` = 'cookiephp' AND `password` = '0123456789'


ซึ่งจะไม่มีปัญหาอะไร

แต่ถ้าสมมติว่าเรา login ด้วย

username: cookiephp password: -_-'


ก็จะได้ตัวแปร $sql ที่มีค่า

SELECT * FROM `member` WHERE `username` = 'cookiephp' AND `password` = '-_-''


ซึ่งจะทำให้เกิด error แบบนี้
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''-_-''


สังเกตตรง `password` = '-_-''
กลายเป็นว่ารหัสผ่านของเราซึ่งก็คือ -_-' จะไปปิด string เสียก่อน
และทำให้ค่าของรหัสผ่านที่จะใช้เปรียบเทียบนั้นเปลี่ยนเป็น -_-
และทำให้มี ' เกินมา 1 ตัว

กรณีแบบนี้เรียกว่า SQL Injection แปลแบบบ้านๆ ได้ว่า การเสียบเข้าไปใน SQL ซึ่งในที่นี้ เราเสียบเครื่องหมาย ' เข้าไปนั่นเอง
ซึ่งในตัวอย่างนี้มีผลเสียเพียงแค่เกิด error

แต่หากเรา login ด้วย

username: cookiephp password: ' OR username = 'cookiephp' AND TRUE <> '


ก็จะได้ตัวแปร $sql ที่มีค่า

SELECT * FROM `member` WHERE `username` = 'cookiephp' AND `password` = '' OR username = 'cookiephp' AND TRUE <> ''


ซึ่งจะตรงกันข้ามกับตัวอย่างก่อนหน้านี้
คือไม่ทำให้ SQL มันผิดพลาด แต่ทำให้เป็น SQL ที่มีความหมายเปลี่ยนไป
หากมีชื่อผู้ใช้ดังกล่าวอยู่ในฐานข้อมูล แม้รหัสผ่านจะไม่ตรงก็ไม่มีผล
เพราะเงือนไขที่สองหลัง OR จะเป็นจริงเสมอ

ทำให้เราสามารถ login ในนามของใครก็ได้ เพียงแค่รู้จักชื่อผู้ใช้




วิธีป้องกัน SQL Injection

ในการเอาค่าที่รับมาจากผู้ใช้ไปรวมเป็น query นั้น
เราต้อง "escape" ค่าที่รับมาจากผู้ใช้ด้วยฟังก์ชั่นที่เหมาะสม (ซึ่งแล้วแต่ชนิดของฐานข้อมูล) ก่อนที่จะนำไปใช้

ซึ่งสำหรับ MySQL นั้นมีสองฟังก์ชั่นคือ

mysql_escape_string() และ mysql_real_escape_string()

ซึ่งแนะนำให้ใช้ตัวหลัง

ตัวอย่าง
$_POST['username'] = mysql_real_escape_string($_POST['username']); $_POST['password'] = mysql_real_escape_string($_POST['password']); $sql = "SELECT * FROM `member` WHERE `username` = '$_POST[username]' AND `password` = '$_POST[password]'";


หากเรา "escape" ค่าที่รับมาจากผู้ใช้แล้ว ต่อให้มีเครื่องหมาย ' อยู่ในค่านั้นๆ ก็จะไม่มีปัญหาอีกต่อไป

สมมติว่าเราส่งพาสเวิร์ดที่มีค่า -_-' ตามตัวอย่างก่อนหน้านี้

ก็จะได้ตัวแปร $sql ที่มีค่า

SELECT * FROM `member` WHERE `username` = 'cookiephp' AND `password` = '-_-\''


ซึ่ง \' จะไม่ทำให้ SQL ผิดเพี้ยน เพราะ MySQL จะตีความเป็นเครื่องหมาย ' ให้เป็น "ข้อมูล" ไม่ใช่ "ไวยากรณ์ ของ SQL"




มาเปลี่ยนวิธีการสร้าง query กันเถอะ

จากตัวอย่างข้างบน สามารถทำให้โค้ดกระชับขึ้นได้ด้วยการหลีกเลี่ยงการกำหนดค่าลงตัวแปรด้วยการเชื่อมต่อสตริง

ใช้การเชื่อมต่อสตริงเพื่อสร้าง SELECT query
// ไม่ต้องมีการกำหนดค่าลงตัวแปรก่อนนำไปใช้ // ลดขั้นตอนการทำงานของ PHP ลง // ประหยัดหน่วยความจำ $sql = "SELECT * FROM `member` WHERE `username` = '" . mysql_real_escape_string($_POST['username']) . "' AND `password` = '" . mysql_real_escape_string($_POST['password']) . "'";


แต่ไม่แนะนำให้ใช้!!! เพราะอ่านยาก แก้ไขยาก และเขียนผิดพลาดได้ง่าย

แนะนำให้ใช้ฟังก์ชั่น sprintf() เพื่อการแก้ไขที่สะดวกขึ้นในภายหลัง และทำให้อ่านง่ายมากขึ้นด้วย

sprintf() นั้นเป็นฟังก์ชั่นที่ใช้ "แทนที่ค่าต่างๆ ลงใน string ตามรูปแบบที่ต้องการ"

โดยมีรูปแบบการใช้ดังนี้ sprintf(รูปแบบ, ค่าแทนที่)
รูปแบบ คือ string ที่เครื่องหมาย % แล้วตามด้วยอักษรภาษาอังกฤษบางตัว เช่น %s, %d (แต่สำหรับการสร้าง query เราใช้แบบเดียวคือ %s) จะทำให้กลายเป็นจุดที่ค่าอื่นจะมาแทนที่ หากจะแสดงเครื่องหมาย % ต้องใช้ %%
ค่าแทนที่ สามารถมีได้หลายค่า

ตัวอย่างการใช้ sprintf()
echo sprintf('I am %s years old.', 10); // %s คือจุดที่จะแทนที่ด้วยค่าอื่น ในที่นี้คือ 10 จะได้ผลเป็น // I am 10 years old. echo sprintf('I have %s brothers and %s sisters.', 2, 4); // ค่าแทนที่มากกว่า 1 ค่า // I have 2 brothers and 4 sisters. echo sprintf('<div style="width: %s%%">Hello World</div>', 50); // %% จะกลายเป็น % // <div style="width: 50%">Hello World</div>


ใช้ sprintf() เพื่อสร้าง SELECT query ลองเปรียบเทียบกับการเชื่อมต่อสตริง แบบไหนอ่านง่ายกว่า?
sql = sprintf( "SELECT * FROM `member` WHERE `username` = '%' AND `password` = '%s'", mysql_real_escape_string($_POST['username']), // %s ตัวที่หนึ่ง mysql_real_escape_string($_POST['password']) // %s ตัวที่สอง );


ใช้ sprintf() เพื่อสร้าง INSERT query
$sql = sprintf( " INSERT INTO `members` (`id`, `username`, `password`, `first_name`, `last_name`) VALUES ('', '%s', '%s', '%s', '%s') ", mysql_real_escape_string($_POST['username']), // %s ตัวที่ 1 mysql_real_escape_string($_POST['password']), // %s ตัวที่ 2 mysql_real_escape_string($_POST['first_name']), // %s ตัวที่ 3 mysql_real_escape_string($_POST['last_name']) // %s ตัวที่ 4 );


ใช้ sprintf() เพื่อสร้าง UPDATE query
$sql = sprintf( " UPDATE `members` SET `username` = '%s', `password` = '%s', `first_name` = '%s', `last_name` = '%s' WHERE `id` = '%s' LIMIT 1 ", mysql_real_escape_string($_POST['username']), // %s ตัวที่ 1 mysql_real_escape_string($_POST['password']), // %s ตัวที่ 2 mysql_real_escape_string($_POST['first_name']), // %s ตัวที่ 3 mysql_real_escape_string($_POST['last_name']), // %s ตัวที่ 4 mysql_real_escape_string($_POST['id']) // %s ตัวที่ 5 );





บทความที่เกี่ยวข้อง





แหล่งข้อมูลอ้างอิง




ติดตามบทความล่าสุดของผู้เขียนได้ที่ phpinfo() Facebook Page







   
Share
Bookmark.   

  By : phpinfo()
  Article : บทความเป็นการเขียนโดยสมาชิก หากมีปัญหาเรื่องลิขสิทธิ์ กรุณาแจ้งให้ทาง webmaster ทราบด้วยครับ
  Score Rating :
  Create Date : 2013-02-17
  Download : No files
Sponsored Links
ThaiCreate.Com Forum


Comunity Forum Free Web Script
Jobs Freelance Free Uploads
Free Web Hosting Free Tools

สอน PHP ผ่าน Youtube ฟรี
สอน Android การเขียนโปรแกรม Android
สอน Windows Phone การเขียนโปรแกรม Windows Phone 7 และ 8
สอน iOS การเขียนโปรแกรม iPhone, iPad
สอน Java การเขียนโปรแกรม ภาษา Java
สอน Java GUI การเขียนโปรแกรม ภาษา Java GUI
สอน JSP การเขียนโปรแกรม ภาษา Java
สอน jQuery การเขียนโปรแกรม ภาษา jQuery
สอน .Net การเขียนโปรแกรม ภาษา .Net
Free Tutorial
สอน Google Maps Api
สอน Windows Service
สอน Entity Framework
สอน Android
สอน Java เขียน Java
Java GUI Swing
สอน JSP (Web App)
iOS (iPhone,iPad)
Windows Phone
Windows Azure
Windows Store
Laravel Framework
Yii PHP Framework
สอน jQuery
สอน jQuery กับ Ajax
สอน PHP OOP (Vdo)
Ajax Tutorials
SQL Tutorials
สอน SQL (Part 2)
JavaScript Tutorial
Javascript Tips
VBScript Tutorial
VBScript Validation
Microsoft Access
MySQL Tutorials
-- Stored Procedure
MariaDB Database
SQL Server Tutorial
SQL Server 2005
SQL Server 2008
SQL Server 2012
-- Stored Procedure
Oracle Database
-- Stored Procedure
SVN (Subversion)
แนวทางการทำ SEO
ปรับแต่งเว็บให้โหลดเร็ว


Hit Link
   







Load balance : Server 01
ThaiCreate.Com Logo
© www.ThaiCreate.Com. 2003-2024 All Rights Reserved.
ไทยครีเอทบริการ จัดทำดูแลแก้ไข Web Application ทุกรูปแบบ (PHP, .Net Application, VB.Net, C#)
[Conditions Privacy Statement] ติดต่อโฆษณา 081-987-6107 อัตราราคา คลิกที่นี่