Forgot Password ??

PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone

	Registered : 109,037

HOME > PHP > PHP Forum > แนะนำ การเขียนเว็บแอพให้มีประสิทธิภาพหน่อย PHP JAVASCRIPT

แนะนำ การเขียนเว็บแอพให้มีประสิทธิภาพหน่อย PHP JAVASCRIPT

เริ่มหัวข้อใหม่

DavidCopter

โพสกระทู้ ( 82 )
บทความ ( 0 )

เราจะเขียนเว็บแอพยังไงให้ปลอดภัยที่สุดหรอครับ
เอาแบบมีช่องโหว่น้อยๆ

Tag : PHP, JavaScript, VBScript, Ajax, jQuery, CakePHP

Date : 2012-03-01 21:34:11

By : ❝ @DavidCopter ❞

View : 1238

Reply : 3

No. 1

num

โพสกระทู้ ( 1,463 )
บทความ ( 1 )

input filter กรองข้อมูลก่อนเสมอ อย่าเชื่อถือข้อมูลใดๆ โดยเฉพาะข้อมูลจากภายนอกเช่น form และตัวแปร super global ต่างๆ รวมทั้ง $_SERVER ก็เชื่อถือไม่ได้ว่าจะเป็นข้อมูลที่ปลอดภัย

output escape ก่อนจะส่งต่อให้กับ destination เช่น database หรือ web browser ฯลฯ จะต้อง escape ข้อมูลที่จะส่งต่อให้เหมาะสมกับสื่อตัวนั้นๆ เพื่อให้มั่นใจได้ว่า output ที่ส่งต่อไปนั้นจะไม่ทำให้เกิด action ที่เป็นกระทบกับผู้ใช้ระบบหรือตัวข้อมูลหรือไฟล์ของระบบ
เช่นการป้องกัน sql injection ป้องกันการแทรก javascript โดยการใช้ function escape ที่เหมาะสมเช่น mysql_real_escape_string, htmlspecialchars

ในการตรวจสอบข้อมูลทั้งสองฝั่ง ตรวจสอบข้อมูลที่ฝั่ง server เพื่อความปลอดภัยของระบบ ตรวจสอบข้อมูลฝั่ง client เพื่อความสะดวกของผู้ใช้

ก่อน upload ให้ตรวจสอบ file extension ก่อนจะบันทึกไฟล์ เพราะโดยปกติถ้าไม่กรองข้อมูลชื่อไฟล์ก่อน user สามารถ upload ไฟล์ php หรือ script ต่างๆ ซึ่งสามารถทำลายระบบได้ด้วย

เราต้องละเอียดมากในการเขียน function filter และ escape ดังกล่าว ที่จะสามารถนำมาใช้งานได้หลายๆ ครั้ง
ซึ่ง function ต่างๆ เหล่านี้จะช่วยให้โค้ดสั้นขึ้นแต่มีประสิทธิภาพมากขึ้น

ศึกษาหาความรู้เพิ่มเติมอยู่เสมอ.. เทคนิคการทำลายระบบทำได้ง่ายและมีหลากหลายมากครับ
เราต้องมีความรู้เหล่านี้ เพื่อจะรู้ว่าจะป้องกันระบบให้มีความปลอดภัยได้อย่างไร

Date : 2012-03-01 22:58:56

By : num

No. 2

DavidCopter

โพสกระทู้ ( 82 )
บทความ ( 0 )

ตอบความคิดเห็นที่ : 1 เขียนโดย : num เมื่อวันที่ 2012-03-01 22:58:56

รายละเอียดของการตอบ ::

แล้วการแฮกแบบ เทรกสคริป ทำยังไงบ้างครับ รู้ไว้จะได้หาช่องโหว่ได้

Date : 2012-03-02 08:49:44

By : zoneme

No. 3

num

โพสกระทู้ ( 1,463 )
บทความ ( 1 )

แค่ใส่คำสั่ง javascript ไปตรงๆ เช่น tag <script>
หรือไม่ก็ onclick onmouseover ฯลฯ ใน ลงในช่องกรอกข้อมูลต่างๆ
ถ้าเค้าไม่ได้กันไว้ก็ทำงานได้ทันที

เขียนป้องกันโดยใช้ php function htmlspecialchars เพื่อ escape ตัวอักษรที่เป็น html เช่้น < > ออกไป
<?php

$rs = mysql_query('select title from tb1');
$r = mysql_fetch_assoc($rs);
echo htmlspecialchars($r['test']);

?>

Date : 2012-03-02 08:55:10

By : num

ค้นหาข้อมูล

แสดงความคิดเห็น

Re : แนะนำ การเขียนเว็บแอพให้มีประสิทธิภาพหน่อย PHP JAVASCRIPT

รายละเอียด

เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง

โดย

อีเมล์

บวกค่าให้ถูก