Register Register Member Login Member Login Member Login Forgot Password ??
PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone
 

Registered : 109,037

HOME > PHP > PHP Forum > form แบบ ajax มีช่องโหว่แบบนี้จะแก้ไงดีครับ ช่วยด้วยครับ



 

form แบบ ajax มีช่องโหว่แบบนี้จะแก้ไงดีครับ ช่วยด้วยครับ

 



Topic : 070665



โพสกระทู้ ( 59 )
บทความ ( 0 )



สถานะออฟไลน์




form นี้มีช่องโหว่อย่างนึงครับ คือดักเรื่องช่องว่าง เรื่องการเช็คความถูกต้องไรหมดแล้ว แต่มีปัญหาเรื่องสำคัญอย่างนึงคือ
สมมุตใส่มั่วๆ เช็คด้วย ajax แล้วว่า ผิด แต่ยังสามารถ submit ส่งข้อมูลได้ครับมี2 ไฟล์นะครับ
1.testajax.php (เป็น form)
2.tcajax.php (เป็นตัวเช็คเงื่อนไขครับ)

testajax.php
<meta charset="windows-874">
<script language="javascript">
function createobj(){
var obj=false;
if(window.XMLHttpRequest){
obj=new XMLHttpRequest;
}else if(window.ActiveXObject){
obj=new ActiveXObject("Microsoft.XMLHTTP");
}else{
alert("NO!!");
}return obj;
}var obj=createobj();
function checkname(name,box){
if(obj){
obj.onreadystatechange=function(){
if(obj.readyState==4&&obj.status==200){
var msg=document.getElementById(box);
msg.innerHTML=obj.responseText;
}
}
var data="tcajax.php";
data=data+"?n="+name;
obj.open("GET",data,true);
}obj.send(null);
}

function checknull(){
if(document.testform.tname.value==""){
document.testform.tname.focus();
document.getElementById("tn1").innerHTML="<font color='red'>Null Name</font>";
return false;
}
}
</script>
<form name="testform" action="regis.php" method="post">
<input type="text" name="tname" onBlur="checkname(this.value,'tn1')">
<div id="tn1"></div>
<input type="submit" value="send" onclick="return checknull()" >
</form>




Tag : PHP, HTML/CSS, JavaScript, Ajax






Move To Hilight (Stock) 
Send To Friend.Bookmark.
Date : 2011-12-20 18:42:10 By : CrazyLine View : 1378 Reply : 22
 

 

No. 1



โพสกระทู้ ( 59 )
บทความ ( 0 )



สถานะออฟไลน์


tcajax.php
<?php
$name=$_GET["n"];
if($name==""){
echo "<font color='red'>Null Name</font>";
echo "<script>window.top.window.resultajax('1');</script>";
}else if($name!="Ajax"){
echo "<font color='red'>No!! Ajax</font>";
}else{
echo "<font color='green'>Send Let'go</font>";
}
?>


แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-20 18:42:28 By : CrazyLine
 


 

No. 2



โพสกระทู้ ( 237 )
บทความ ( 0 )



สถานะออฟไลน์
Facebook

ที่ว่าใส่มั่วๆคืออะไรคับ

หมายถึงค่าใน value หรอคับ
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-20 20:18:38 By : siammbk
 

 

No. 3



โพสกระทู้ ( 59 )
บทความ ( 0 )



สถานะออฟไลน์


กรอกข้อมูลใน input tname มั่วๆอะครับ แล้วก็ยัง submit ผ่าน เอางี้ ลองเอาสคิปผมไป test เลยครับเห็นภาพชัดดี
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-20 20:34:14 By : CrazyLine
 


 

No. 4



โพสกระทู้ ( 59 )
บทความ ( 0 )



สถานะออฟไลน์


ผมกำหนดไว้ ถ้าไม่กรอก ในช่องนั้นว่า Ajax ก็จะไม่ให้ผ่าน อันนี้แหละครับที่พลาด
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-20 20:34:48 By : CrazyLine
 


 

No. 5



โพสกระทู้ ( 11,835 )
บทความ ( 10 )

สมาชิกที่ใส่เสื้อไทยครีเอท Hall of Fame 2012

สถานะออฟไลน์


มันไม่ใช่ช่องโหว่หรอกครับ คุณเขียนผิด ที่ผมบอกไปลองทำตามหรือยังครับ แล้วไปทำแบบไหนมา


ประวัติการแก้ไข
2011-12-21 00:46:10
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-21 00:45:28 By : ikikkok
 


 

No. 6



โพสกระทู้ ( 59 )
บทความ ( 0 )



สถานะออฟไลน์


คือผมหาวิธี set ตัวแปร ใน page form ไม่ได้อะครับพี่ ^^
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-21 15:15:12 By : CrazyLine
 


 

No. 7



โพสกระทู้ ( 11,835 )
บทความ ( 10 )

สมาชิกที่ใส่เสื้อไทยครีเอท Hall of Fame 2012

สถานะออฟไลน์


เอาโค๊ดปัจจุบันที่ว่าแก้แล้วไม่ได้อะมาดูหน่อยครับ
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-21 15:24:53 By : ikikkok
 


 

No. 8



โพสกระทู้ ( 59 )
บทความ ( 0 )



สถานะออฟไลน์


อันที่แก้ครับแต่ไม่รู้จะทำ ตัวแปรยังไง งงตรงนี้มากอะครับ
<meta charset="windows-874">
<script language="javascript">
function createobj(){
var obj=false;
if(window.XMLHttpRequest){
obj=new XMLHttpRequest;
}else if(window.ActiveXObject){
obj=new ActiveXObject("Microsoft.XMLHTTP");
}else{
alert("NO!!");
}return obj;
}var obj=createobj();
function checkname(name,box){
if(obj){
obj.onreadystatechange=function(){
if(obj.readyState==4&&obj.status==200){
var msg=document.getElementById(box);
msg.innerHTML=obj.responseText;
}
}
var data="tcajax.php";
data=data+"?n="+name;
obj.open("GET",data,true);
}
obj.send(null);
return false;
}

function checknull(){
if(document.testform.tname.value==""){
document.testform.tname.focus();
document.getElementById("tn1").innerHTML="<font color='red'>Null Name</font>";
return false;
}
}
</script>
<form name="testform" action="regis.php" method="post" onsubmit="return checkname()">
<input type="text" name="tname" onBlur="checkname(this.value,'tn1')">
<div id="tn1"></div>
<input type="submit" value="send" onclick="return checknull()" >
<input type="hidden">
</form>
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-21 21:14:24 By : CrazyLine
 


 

No. 9



โพสกระทู้ ( 59 )
บทความ ( 0 )



สถานะออฟไลน์


ผมยอมแล้ว T-T สงสัยต้องกลับไปใช้แบบเดิมก่อนแล้วศึกษา xml กะ javascript ให้ท่องแท้มากกว่านี้ก่อน
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-21 21:24:59 By : CrazyLine
 


 

No. 10



โพสกระทู้ ( 2,258 )
บทความ ( 5 )

สมาชิกที่ใส่เสื้อไทยครีเอท

สถานะออฟไลน์
Twitter Facebook Hi5 Blogger

ใช้เฟรมเวิร์กดีกว่าครับ jquery , Prototype , Xajax ศึกษาจากเฟรมเวิร์กเอา
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-21 22:43:26 By : q
 


 

No. 11



โพสกระทู้ ( 11,835 )
บทความ ( 10 )

สมาชิกที่ใส่เสื้อไทยครีเอท Hall of Fame 2012

สถานะออฟไลน์


โค๊ดตัวนี้ล่าสุดแล้วใช่ไหมครับ จำไม่ได้แล้วด้วยปัญหาคืออะไร
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-22 07:03:01 By : ikikkok
 


 

No. 12



โพสกระทู้ ( 59 )
บทความ ( 0 )



สถานะออฟไลน์


ใช่ครับล่าสุด คือมีปัญหาเรื่อง การ submit ครับ
test ตามนี้นะครับ
-ไม่ใส่อะไรเลย กด = ต้องไม่ผ่าน
-ใส่คำว่า Ajax กด = ต้องผ่าน
-ใส่คำอื่น กด = ต้องไม่ผ่าน <<< ตรงนี้อะครับที่เป็นปัญหา กดไงก็ผ่าน
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-22 09:46:59 By : CrazyLine
 


 

No. 13



โพสกระทู้ ( 59 )
บทความ ( 0 )



สถานะออฟไลน์


กระทู้ตกยาวเลย...
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-23 16:04:19 By : CrazyLine
 


 

No. 14



โพสกระทู้ ( 564 )
บทความ ( 0 )



สถานะออฟไลน์
Twitter Facebook

ลองเอาไปรันแล้ว มันก็ปกติ นะครับ
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-23 16:32:12 By : kalamell
 


 

No. 15



โพสกระทู้ ( 59 )
บทความ ( 0 )



สถานะออฟไลน์


test ตามนี้นะครับ
"" = NullName
sdfasdf(อะไรก็ได้) = No!! Ajax <<< อันนี้ผมหมายถึงว่าให้ใส่คำว่า Ajax
Ajax = Let's go

แต่คือ ปัญหาที่ ถ้าใส่อะไรก็ได้ มันต้อง submit ไม่ผ่านสิครับ แต่นี่ไปโลดดดด เลย
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-23 19:07:18 By : CrazyLine
 


 

No. 16



โพสกระทู้ ( 4,756 )
บทความ ( 8 )



สถานะออฟไลน์


อย่าลืมการตรวจสอบฟอร์มที่ php ด้วยนะครับ เพราะถ้าใช้ javascript ตรวจ แล้วผู้ใช้ปิด javascript มันก็ทำงานไม่ได้

ปกติแล้วเรื่องการทำงานกับฟอร์ม ผมจะตรวจที่ php เป็นหลัก ทำแบบเป็นฟอร์มธรรมดาให้เวิร์คก่อน
เสร็จแล้วค่อยตกแต่ง ajax สำหรับผู้ใช้ที่เปิดใช้ javascript โดยรับค่าฟอร์มแล้วส่งไปที่ php เลย แล้วรับผลจาก php มาแสดงว่าผ่าน หรือไม่ผ่าน อะไรยังไง มันจะไม่ต้องตรวจหลายขั้นตอนครับ
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-23 20:55:54 By : mr.v
 


 

No. 17



โพสกระทู้ ( 11,835 )
บทความ ( 10 )

สมาชิกที่ใส่เสื้อไทยครีเอท Hall of Fame 2012

สถานะออฟไลน์


ที่มันไปโลดอย่างว่าเพราะ return checkname() ตรง onsubmit นะครับ

checkname มันต้องการ parameter ดังนั้นมัน error ก้เลย submit form ไม่ return false กลับมา
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-24 03:28:03 By : ikikkok
 


 

No. 18



โพสกระทู้ ( 59 )
บทความ ( 0 )



สถานะออฟไลน์


แล้วเวลา return ture,false นี่ต้องมาจากหน้า ตรวจสอบใช่ไหมครับ
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-25 19:32:43 By : CrazyLine
 


 

No. 19



โพสกระทู้ ( 59 )
บทความ ( 0 )



สถานะออฟไลน์


tcajax หน้า check
<?php
$name=$_GET["n"];
if($name==""){
echo "<font color='red'>Null Name</font>";
}else if($name!="Ajax"){
echo "<font color='red'>No!! Ajax</font>";
}else{
echo "<font color='green'>Send Let'go</font>";
return true; // ส่งค่า ture กลับ
}
?>


testajax
<meta charset="windows-874">
<script language="javascript">
function createobj(){
var obj=false;
if(window.XMLHttpRequest){
obj=new XMLHttpRequest;
}else if(window.ActiveXObject){
obj=new ActiveXObject("Microsoft.XMLHTTP");
}else{
alert("NO!!");
}return obj;
}var obj=createobj();
function checkname(name,box){
if(obj){
obj.onreadystatechange=function(){
if(obj.readyState==4&&obj.status==200){
var msg=document.getElementById(box);
msg.innerHTML=obj.responseText;
}
}
var data="tcajax.php";
data=data+"?n="+name;
obj.open("GET",data,true);
}
obj.send(null);
return false; // ดักไม่ให้กด submit ได้ถ้า เงื่อนไข checknull ผ่าน
}

function checknull(){
if(document.testform.tname.value==""){
document.testform.tname.focus();
document.getElementById("tn1").innerHTML="<font color='red'>Null Name</font>";
return false; //ดักเวลาไม่กรอกข้อความ
}
}
</script>
<form name="testform" action="regis.php" method="post" onsubmit="return checkname()">
<input type="text" name="tname" onBlur="checkname(this.value,'tn1')">
<div id="tn1"></div>
<input type="submit" value="send" onclick="return checknull()" >
<input type="hidden">
</form>

ตอนนี้ดักจนมันกด submit ไม่ได้ละครับ
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-25 19:42:34 By : CrazyLine
 


 

No. 20



โพสกระทู้ ( 11,835 )
บทความ ( 10 )

สมาชิกที่ใส่เสื้อไทยครีเอท Hall of Fame 2012

สถานะออฟไลน์


<form name="testform" action="regis.php" method="post" onsubmit="return checkname()">

ตรงนี้มันไม่มี parameter ครับ
เอางี้น้องเปิดด้วย firefox แล้ว ctrl + shift + j จะเห็น ว่า javascript error ตรงไหนยังไง
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-25 23:39:31 By : ikikkok
 


 

No. 21



โพสกระทู้ ( 59 )
บทความ ( 0 )



สถานะออฟไลน์


ตอนนี้ติดที่เดียวคือ ใส่ Ajax แล้วไม่ยอมให้ผ่าน

msg is null ครับ บรรทัดที่ 18
มันจะอยู่ในช่วงของ

test error
if(obj.readyState==4&&obj.status==200){
var msg=document.getElementById(box);
msg.innerHTML=obj.responseText;
}


ใน php ผมตั้งถ้าผ่าน ให้ทำ
}else{
echo "<font color='green'>Send Let'go</font>";
return true; // ส่งค่า ture กลับ
}


ประวัติการแก้ไข
2011-12-26 16:59:15
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-26 16:58:39 By : CrazyLine
 


 

No. 22



โพสกระทู้ ( 59 )
บทความ ( 0 )



สถานะออฟไลน์


สงสัยจะไม่มีใครเข้าใจสิ่งที่ผมจะทำแน่เลย ไม่เปนไรครับเดียวไปใช้การตรวจฟรอม ด้วย php ประกอบด้วยจะได้ ง่าย
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2011-12-27 16:09:09 By : CrazyLine
 

   

ค้นหาข้อมูล
   
 

แสดงความคิดเห็น
Re : form แบบ ajax มีช่องโหว่แบบนี้จะแก้ไงดีครับ ช่วยด้วยครับ
 
 
รายละเอียด
 
ตัวหนา ตัวเอียง ตัวขีดเส้นใต้ ตัวมีขีดกลาง| ตัวเรืองแสง ตัวมีเงา ตัวอักษรวิ่ง| จัดย่อหน้าอิสระ จัดย่อหน้าชิดซ้าย จัดย่อหน้ากึ่งกลาง จัดย่อหน้าชิดขวา| เส้นขวาง| ขนาดตัวอักษร แบบตัวอักษร
ใส่แฟลช ใส่รูป ใส่ไฮเปอร์ลิ้งค์ ใส่อีเมล์ ใส่ลิ้งค์ FTP| ใส่แถวของตาราง ใส่คอลัมน์ตาราง| ตัวยก ตัวห้อย ตัวพิมพ์ดีด| ใส่โค้ด ใส่การอ้างถึงคำพูด| ใส่ลีสต์
smiley for :lol: smiley for :ken: smiley for :D smiley for :) smiley for ;) smiley for :eek: smiley for :geek: smiley for :roll: smiley for :erm: smiley for :cool: smiley for :blank: smiley for :idea: smiley for :ehh: smiley for :aargh: smiley for :evil:
Insert PHP Code
Insert ASP Code
 Insert VB.NET Code Insert C#.NET Code Insert JavaScript Code Insert C#.NET Code
Insert Java Code
Insert Android Code
Insert Objective-C Code
Insert XML Code
Insert SQL Code
Insert Code
เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

   
  เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง
 
โดย
อีเมล์
บวกค่าให้ถูก
<= ตัวเลขฮินดูอารบิก เช่น 123 (หรือล็อกอินเข้าระบบสมาชิกเพื่อไม่ต้องกรอก)







Exchange: นำเข้าสินค้าจากจีน, Taobao, เฟอร์นิเจอร์, ของพรีเมี่ยม, ร่ม, ปากกา, power bank, แฟลชไดร์ฟ, กระบอกน้ำ

Load balance : Server 02
ThaiCreate.Com Logo
© www.ThaiCreate.Com. 2003-2024 All Rights Reserved.
ไทยครีเอทบริการ จัดทำดูแลแก้ไข Web Application ทุกรูปแบบ (PHP, .Net Application, VB.Net, C#)
[Conditions Privacy Statement] ติดต่อโฆษณา 081-987-6107 อัตราราคา คลิกที่นี่