|
 |
| |
ขอคำแนะนำอธิบายการป้องกัน sql injection ด้วยครับ แบบระเอียด |
| |
 |
|
|
 |
 |
|
ขอดู Code Query ที่เขียนไว้หน่อยครับ
|
 |
 |
 |
 |
| Date :
2013-04-08 07:01:10 |
By :
mr.win |
|
 |
 |
 |
 |
|
|
 |
 |
|
 |
 |
| |
|
|
|
| |
|
หน้าดูรูปครับ
Code (PHP)
<?
$viewid = ($_GET["view"]);
$idresult = mysql_query("SELECT * FROM `images` WHERE `img_id` = ".$viewid."");
$rows = mysql_fetch_array($idresult);
?>
หน้าเข้าระบบครับ
Code (PHP)
<?
session_start();
if ($_POST["action"]=="login") {
$passencode = sha1(md5(md5($_POST["pass"])));
$loginchk = "SELECT *FROM `member`WHERE `username` LIKE '".$_POST["username"]."'";
$passchk = "SELECT *FROM `member`WHERE `password` LIKE '".$passencode."'";
$logi = mysql_query($loginchk);
$passi = mysql_query($passchk);
$resultlogin = mysql_num_rows($logi);
$resultpass = mysql_num_rows($passi);
$fetchuser = mysql_fetch_array($logi);
if ($resultlogin!=1){ echo "<font color=#FFFFFF>ไม่พบ Username ".$_POST["username"]. " ในระบบ</font>";
include "login.php";}
else {if ($passencode!=1) {echo "<font color=#FFFFFF>รหัสผ่านผิด</font>";
include "login.php";}
else
if ($_POST["action"]=="login") {
$_SESSION["username"] = $fetchuser["username"];
session_write_close();
include "usermenu.php";
}}}
else {
include "login.php";
} ?>
|
| |
|
|
| |
| Date :
2013-04-08 07:57:19 |
By :
thankyou |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
Code (PHP)
if(get_magic_quotes_gpc()==0)
{
$userid=mysql_real_escape_string($_POST['userid']);
$passwd=mysql_real_escape_string($passwd=md5($_POST['passwd']));
}
else
{
$userid=$_POST['userid'];
$passwd=md5($_POST['passwd']);
}
get_magic_quotes_gpc()==0 คือ
ตั้งค่าที่ php.ini ไว้เป็น off เลยต้องใช้ mysql_real_escape_string() มาครอบตัวแปรไว้
|
| |
|
|
| |
| Date :
2013-04-08 20:03:37 |
By :
iieszz |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
ก็คือถ้ามีการรับค่า ให้เอาค่ามา mysql_real_escape_string ก่อนทุกครั้งใช่ไหมครับ
|
| |
|
|
| |
| Date :
2013-04-09 01:29:50 |
By :
a-z |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
ตอนนี้กัน sql injection ได้แล้วครับขอบคุณมากเลย :D
|
| |
|
|
| |
| Date :
2013-04-09 03:19:31 |
By :
thankyou |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
|
| |
|
|
| |
| Date :
2013-04-09 06:06:50 |
By :
mr.win |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
|
| |
|
|
| |
| Date :
2013-04-09 08:34:14 |
By :
ห้ามตอบเกินวันละ 2 กระทู้ |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
ถ้าใช้ sql server ก็ใช้แบบ parameter ได้
Code (PHP)
<?php
$serverName = "serverName\sqlexpress";
$connectionInfo = array( "Database"=>"dbName", "UID"=>"username", "PWD"=>"password" );
$conn = sqlsrv_connect( $serverName, $connectionInfo);
if( $conn === false ) {
die( print_r( sqlsrv_errors(), true));
}
$sql = "INSERT INTO Table_1 (id, data) VALUES (?, ?)";
$params = array(1, "some data");
$stmt = sqlsrv_query( $conn, $sql, $params);
if( $stmt === false ) {
die( print_r( sqlsrv_errors(), true));
}
?>
|
| |
|
|
| |
| Date :
2013-04-09 08:37:14 |
By :
ห้ามตอบเกินวันละ 2 กระทู้ |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
หรือไม่ลองพวก mysqli ครับ มีแบบ PrepareStatement ได้ด้วย
|
| |
|
|
| |
| Date :
2015-01-06 10:14:35 |
By :
mr.win |
|
|
| |
|
|
|
|
|
| |
|
|
|
| |
|
|
|
| |
|
น่าสนใจครับ ขออนุญาติแปะไว้ก่อน
|
| |
|
|
| |
| Date :
2015-01-07 11:58:28 |
By :
boyeng3k |
|
|
| |
|
|
|
|
|
| |
|
|
|
|
|
| |
|
 Load balance : Server 05
|
