รณรงค์ เลิกใช้ mysql_query เปลี่ยนมาใช้ function อื่นแทน
mysql_query มัน hack กันยังไงครับ เผื่อจะเป็นความรู้ใหม่ๆ ด้วยครับ
Date :
2010-10-02 08:59:00By :
webmaster
mysql_query('DELETE FROM table01 WHERE table_id='.$_GET['id']);
Date :
2010-10-02 09:10:09By :
:)
ใช้ Code (PHP) mysql_real_escape_string()
Date :
2010-10-02 09:19:08By :
mr.v
จะมีกี่คนที่ใช้อย่างถูกวิธีครับ อย่าง query
Date :
2010-10-02 10:18:40By :
:)
ผมว่าแล้วแต่คนนะ ใช้แบบเดิม หรือแบบใหม่ มันอาจต่างกันบ้าง
Date :
2010-10-02 11:06:35By :
pjgunner.com
ถ้าผมใช้ mysql4.0 แล้วผมจะใช้ mysqli ได้เปล่าหละhttps://www.thaicreate.com/community/mysqlinjections-protech.html
ประวัติการแก้ไข
Date :
2010-10-02 11:19:18By :
deawx
<?php
$link = mysqli_connect('localhost', 'my_user', 'my_password', 'world');
/* check connection */
if (!$link) {
printf("Connect failed: %s\n", mysqli_connect_error());
exit();
}
$stmt = mysqli_prepare($link, "DELETE FROM table01 WHERE table_id=?");
mysqli_stmt_bind_param($stmt, 'd', $code);
$code = ''1 or 1=1'';
/* execute prepared statement */
mysqli_stmt_execute($stmt);
?>
http://www.php.net/manual/en/mysqli-stmt.bind-param.php
Date :
2010-10-02 11:21:36By :
:)
ถ้าผมใช้ php4.0 แล้วผมจะใช้ mysqli ได้เปล่าหละ
Date :
2010-10-02 11:28:00By :
:)
สำหรับ mysqli ซึ่งเป็น function ที่ใหม่กว่า mysql คุณ deawx คิดว่าจะใช้กับ mysql รุ่นเก่าไม่ได้หรือครับ
Date :
2010-10-02 11:35:12By :
:)
ช่วย ๆ กันดันครับ กระทู้มีประโยชน์
Date :
2010-10-02 11:37:23By :
deawx
:)
Date :
2010-10-02 11:41:37By :
:)
SQL Injection มันมีปัญหาเยอะจริง ๆ ครับ เป็นช่องทางแรก ๆ ที่คนจะ hack กัน หลาย ๆ คนเลยใช้การเขียนแบบโยน Parameter แทน กระทุ้เป็นประโยชน์จริง ๆ สำหรับสมาชิกหลาย ๆ ท่าน ครับ
Date :
2010-10-02 11:46:19By :
webmaster
แล้วในกรณีที่ผมเข้า รหัสละครับ แล้วส่ง ค่า มาแทน ละครับ จะมีปัญหาหรือป่าวครับ คือผม ทำการเข้า รหัส ค่า ก่อนที่จะส่ง ค่า ทุกครั้งครับ โดยเข้าประมาณ 5-6 ชั้นอะครับ แบบนี้จะมีปัญหาหรือป่าว
Date :
2010-10-02 12:02:52By :
SOUL
ก็ยังมีโอกาสเกิดปัญหาครับไม่ว่าจะเข้ารหัสยังไง
Date :
2010-10-02 12:07:01By :
:)
แก้ไขครับ กรณีที่เข้ารหัสโดย function บางอย่างอาจจะป้องกันได้ แต่ function บางอย่างอาจป้องกันไม่ได้
Date :
2010-10-02 12:12:07By :
:)
Code (PHP) $id = $_GET['id'];
/* ในกรณี id มีค่าเป็น integer */
if ( !is_numeric($id) ) {
die('hack attempt');
}
mysql_query("delete from table where id = ".mysql_real_escape_string($id));
/*---------------------------------------------------------------------------------*/
/* ในกรณี id มีค่าเป็น string */
mysql_query("delete from table where id = '".mysql_real_escape_string($id)."'");
ประวัติการแก้ไข
Date :
2010-10-02 13:50:04By :
mr.v
ในกรณีมีการเข้ารหัส (ไม่รู้ผมเข้าใจคุณ soul ถูกรึเปล่า) ยกตัวอย่างเช่นเก็บรหัสผ่านเป็นแบบเข้ารหัส md5()Code (PHP) $username = $_POST['username'];
$password = $_POST['password'];
$encpassword = md5(md5($password));
$sql = "select * from users where username = '" . mysql_real_escape_string($username) . "' and password = '" . $password . "'";
mysql_query($sql);
Date :
2010-10-02 13:56:58By :
mr.v
$id = $_GET['id'];
Date :
2010-10-02 14:23:15By :
:)
ความรู้ใหม่จริงๆลบข้อมูลได้แน่นอน แบบนี้หรือเปล่าครับ
Date :
2010-10-02 14:31:07By :
iieszz
เป็นเรื่องที่ดีมากครับ จะบวกให้ก็ไม่ได้ซะด้วย เป็นกำลังใจให้ละกัน
Date :
2010-10-02 17:11:57By :
PlaKriM
ตอนนี้ผมก็ยังใช้ mysql_query ครับ ส่วนเรื่อง SQL Injection ยังไม่เจอครับ เพราะ php มีฟังก์ชั่นรองรับการทำงานหลายตัว
Date :
2010-10-03 07:22:37By :
webmaster
ตอนนี้ผมก็ยังใช้ mysql_query อยู่เหมือนกัน แต่ว่าเพิ่ม function การตรวจเช็ค ต่าง เพิ่มขึ้นและที่สำคัญ มีการเข้า รหัสด้วยครับ
Date :
2010-10-04 09:02:44By :
SOUL
มันปลอดภัยกว่า ดูง่ายกว่า ตรวจสอบง่ายกว่า ถ้ามีโอกาสก็เปลี่ยนๆ กันไปเหอะ
Date :
2010-10-04 09:23:12By :
tungman
ผมไม่เข้าใจว่ามันไม่ทันภาษาอื่นยังไง ช่วยยกตัวอย่างที่เป็นรูปธรรมเข้าใจง่ายให้หน่อย.
Date :
2010-10-04 09:31:58By :
mr.v
เรื่อง oop ก็เรื่องนึง php เป็น oop ที่ประหลาด หวังไว้ลึกๆ ว่าสักวันมันคงจะยกเครื่องใหม่
Date :
2010-10-04 09:46:46By :
tungman
Date :
2010-10-04 10:01:20By :
mr.v
ก็เป็นกำลังใจให้ open source อยู่ห่างๆ เหมือนกันครับ
Date :
2010-10-04 10:12:08By :
tungman
คนที่เขียน .net มาตลอดอาจจะ anti php ครับ
Date :
2010-10-04 11:30:05By :
PlaKriM
ไม่ใช่ยึดติดกับฝั่ง microsoft หรอกครับ แต่ยึดติดกับแนวคิด pure oop มากกว่า
Date :
2010-10-04 12:38:09By :
tungman
คุณ tungman ก็อย่าเรียกมันว่า oop ครับ เรื่อกมันว่า half oop หรือ ลูกครึ่ง oop หรือ ครึ่งควบลูก ก็ได้ครับ
Date :
2010-10-04 13:33:31By :
PlaKriM
ผมว่าถ้ามานพัฒนาต่อไปได้มานก็น่าจะดีเหมือนกัน นะครับ
Date :
2010-10-04 15:21:14By :
SOUL
ผมชอบใช้ mysql_db_query อะครับ
Date :
2010-10-04 18:00:34By :
mrsllive
PHP ในตอนนี้ OOP ก็สามารถเขียนได้ ในระดับที่เยี่ยมแล้วครับ คือมันยังให้ใช้โค้ดเดิมรันใน PHP 5 ได้อยู่ และมันก็เป็น weak type ด้วยครับเช่น function abc(array $arr){}
function bcd(ClassA $inst){}
Date :
2010-10-04 18:38:43By :
pjgunner.com
แล้วเรื่อง mysql injection ละครับ ระหว่างแบบ mysql กับ mysqli อันไหนน่าจะดีกว่ากัน ข้าน้อยได้ยินมาว่า mysqli มันออกแบบมาให้เหมาะกับการเขียนแบบ oop แต่ทว่าส่วนมากก็เขียนแบบฟังก์ชั่นกันซะส่วนใหญ่ เพราะเคยชินซะแล้ว อิอิ อีกอย่าง mysqli มันมีรูปแบบการเขียนที่เป็น oop ด้วยCode (PHP) <?php
@$db = new mysqli('localhost','root','pass','database'); //การติดต่อกับฐานข้อมูล
if(mysqli_connect_errno()){
echo "ไม่สามารถเชื่อมต่อ db ได้ : ".mysqli_connect_error();
exit;
}
$query="select * from employee";
$res=$db->query($query);
$num=$res->num_rows;
$row=$res->fetch_assoc();
echo $row['ฟิลด์ 1'];
echo $row['ฟิลด์ 2'];
echo $row['ฟิลด์ 3'];
echo $row['ฟิลด์ 4'];
//ซึ่งมันสามารถอ้างอิงออปเจ็กต์ได้
?>
Date :
2010-10-04 19:46:55By :
Manussawin
มีความเข้าใจผิดกันมากว่า class หรือโครงสร้างภาษาที่สนับสนุนให้สร้าง class คือ oop
Date :
2010-10-04 22:02:20By :
php
คึกคักจังกระทู้นี้ ใครพาออกนอกประเด็นเนี่ย
Date :
2010-10-04 22:33:53By :
tungman
พี่ตึ๋งคะ วันนี้อากาศดีป่าว หนาวมากปะคะ
Date :
2010-10-04 22:36:24By :
blurEyes
คนอื่นไม่รู้ แต่วันนี้ผมหนาว ขนลุกซู่
Date :
2010-10-04 22:40:54By :
tungman
ประเด็นมันไม่ได้อยู่ที่คนเขียนคล่องไม่คล่อง เก่งไม่เก่งนะครับ อย่าพาดราม่า เอ้า ต่อๆ
Date :
2010-10-04 23:10:32By :
PlaKriM
เห็นคนมาว่า php ทั้งๆ ที่รู้จักการเขียนโปรแกรม แบบงูๆ ปลาๆ แล้วรับไม่ได้ครับ
Date :
2010-10-04 23:49:51By :
php
ซะงั้น จะต่อว่ากันรบกวน PM นะครับ
Date :
2010-10-04 23:54:01By :
PlaKriM
เข๊อะๆ อย่าทำให้มันกลายเป็นเรื่องเครียดเลยครับ สงสารคนที่เขาคิดค้นขึ้นมา บางครั้งในทางทฤษฎีกับการปฏิบัติมันก็ต่างกันโดยชิ้นเชิง ผมว่าจะเขียนอะไร จะทำอะไรก็คงจะเป็นเรื่องความชอบหรือความถนัดส่วนบุคคลแหละครับ
Date :
2010-10-05 00:14:34By :
Manussawin
อ้าว กรรม ผมว่านะครับ เรื่องของภาษา php มานต้องมีการพัฒนาต่อไปเลื่อยๆๆๆ ไม่ว่าจะยังไง บางทีการเขียน code ก็ต้องมีหลากหลายเหมือนกัน ขึ้นอยู่กับความถนัด และประสบการณ์ของการเขียนมากกว่านะครับ ส่วนเรื่องมานจะเป็น oop หรืออะไร ผมว่าอย่าไปเครียดไรกะมานมากครับ มานก็แค่ tool ตัวนึง ที่หากว่าเราถนัดเราก็แค่เลือกใช้ เท่านั้นเอง ครับ แต่ว่า นะครับ ผมว่าเราย้อนกลับมาคุยเรื่องการ hack โดยผ่าน เจ้า
ประวัติการแก้ไข
Date :
2010-10-05 09:18:25By :
SOUL
จะใช้ mysql หรือ mysqli ก็ได้ แต่ผมแนะนำให้ใช้ PHPADOdb ไปเลย อิอิ http://adodb.sourceforge.net/
Date :
2010-10-05 10:29:29By :
mr.v
ดราม่าตรงไหน ???
Date :
2010-10-05 19:06:59By :
pjgunner.com
adodb + savent3 สุดยอด
Date :
2010-10-05 22:17:23By :
siamspeeds
ผมคิดว่าควรจะสร้าง function สำหรับการ insert / update ให้สั้นมากๆ เข้าไว้
Date :
2010-10-05 23:00:56By :
:)
Server 03
Load balance : Server 03
