Forgot Password ??

PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone

	Registered : 109,037

HOME > PHP > PHP Forum > มาเล่าสู่กันฟัง โดน SQL Injection Hack ไม่ได้ป้องกันเพราะคิดว่าเป็นหน่วยงานราชการเล็ก ๆ ....

มาเล่าสู่กันฟัง โดน SQL Injection Hack ไม่ได้ป้องกันเพราะคิดว่าเป็นหน่วยงานราชการเล็ก ๆ ....

เริ่มหัวข้อใหม่

Mr.กล้า

โพสกระทู้ ( 5,105 )
บทความ ( 4 )

ผมเริ่มเขียนเว็บจากหนังสือ ไม่ได้เรียนมาโดยตรงค่อย ๆ สั่งสมประสบการณ์ จนกล้ารับงาน...
หนังสือทุกเล่มทีอ่านรุ่นก่อน ๆ ก็จะไม่ได้บอกเรื่องการทำเว็บแล้วป้องกันแฮ็กแบบไหน
แต่พอเข้ามาได้บอร์ดก็เจอวิธีป้องกัน หลายแบบ เช่น
mysql_real_escape_string หรือ sprintf หรือ เข้ารหัสแบบ MD5
ซึ่งหนังสือไม่เคยสอน แต่ผมก็ไม่เคยเอาไปใช้สักที
คิดแค่ว่าคงไม่มีใครมาแฮ็คเน๊าะเพราะเป็นหน่วยงานเล็ก ๆ ไม่มีอะไรสำคัญ

และแล้วเมื่อไม่นานมานี้ ก็เกิดอาการเพี้ยน ๆ ขึ้นในหน้าเว็บที่ทำงาน ผมไม่ได้เป็น webmaster หรอก
แต่ช่วยน้องที่ทำงานทำระบบไว้ให้ใช้งานง่ายขึ้น....

ตอนแรกก็ งง ๆ อยู่ดีดีทำไมมีข้อความแปลก ๆ มาโพสต์ขึ้นมาที่หน้า Web
ก็คิดว่าโดนเล่นแน่ ๆ สุดท้าย คนจู่โจมก็บอกพิมพ์บอกมาว่า เป็น SQL Injection Hack
แต่สิ่งที่ไม่ชอบใจ คือถ้า Hack ได้แล้วแจ้งมาดีดี ผมก็ยินดี ที่จะต้องหาทางป้องกัน
แต่สิ่งที่เกิดขึ้น ไม่รู้จะไปไล่ unlink ไฟล์ที่เก็บไว้ทำไม ข้อมูลใน db ทำไม....ไฟล์ PDF หลายเกลี้ยง (จะเป็นพวกเอกสาร หลักฐาน ในการสอบจบ ป.โท ป.เอก) แต่ก็ยังดีที่ผม Backup ไว้บ้าง แต่ก็เจ็บหนักเลยทีเดียว T^T

ไม่รู้ว่ามันมีสาเหตุมาจาก ครั้งนึงซึ่งอันนี้ไม่รู้เกี่ยวกันหรือเปล่า ผมเคยพิมพ์ในบอร์ด(นานแล้ว) เกี่ยวกับเรื่อง hack นี่ละ
จำใจความได้คร่าว ๆ ว่า
"คงไม่มีใครเค้ามา Hack ที่ทำงานผมเน๊าะ เพราะไม่มีอะไรสำคัญ" แต่พิมพ์ออกแนวติดตลกตามสไตล์ ผมไม่ได้ท้าทายใคร เพราะผมไม่เก่งจริง ๆ แต่ถ้าอ่านแล้วรู้สึกไม่ดีต้องขออภัยด้วยครับ
ถ้ามันเกิดจากที่ผมเคยโพสต์ไว้ แล้วเจอผู้หวังดี แฮ็คเข้ามา ช่วยทำให้ดีขึ้น รู้ว่าแฮ็คได้
ควรแจ้งบอก Webmaster ไปตรง ๆ ไม่น่าจะมาลบไฟล์ หรือ ลบข้อมูลใน db เลย

แต่คราวนี้ถ้าท่านใด้เห็น ขอความกรุณาเถอะครับว่าอย่าลองแฮ็คอีกเลย
ผมก็ทำเว็บได้ งู ๆ ปลา ๆ เว็บมาสเตอร์ก็จบเทคโนโลยีการศึกษา
ไม่ได้จบด้าน Server โดยตรง พูดง่าย ๆ linux เบื้องต้นง่าย ๆ
ผม 2 คนยังทำไมได้เลยครับ

สรุปที่บ่นมาก็อยากให้เป็นเรื่องเตือนใจ
1.ถึงคน Hack ถ้าทำเป็นก็ทดสอบ Hack ว่าทำได้ แล้วก็เมลล์แจ้งบอกไปตรง ๆ ครับอย่าไปลบไฟล์งาน ข้อมูลใน db เลย มันเหนื่อยจริง ๆ ถึงขั้นน้ำตาตกใน
2. ถึงคนที่ทำการเขียน Code แบบหัดเรียนจาก เว็บ จากหนังสือ เราต้องมาประยุกต์ป้องกันจุดบกพร่อง ช่องโหว่ตรงนี้ด้วยนะครับ (ซึ่งหลายท่านอาจจะทำ แต่ตัวผมพลาดเอง ไม่ได้ไม่อยากทำแต่ ทำไม่เป็นจริง ๆ )
3. ส่วนการป้องกัน hack แบบ SQL Injection ทำแบบไหน ลองเอา คีย์เวิร์ดในโพสต์นี้ไป Search ดูในบอร์ด จะมีวิธีป้องกันครับ
4. ถ้าจะ Hack มาทางอื่นอีก แล้ว Hack ได้จริง ๆ ท่านมือ Hack ทั้งหลายช่วยแจ้งเตือนไปบอก WEBmaster เค้าเถอะครับ จะได้ไม่เป็นภาระของเขาเหล่านั้น (เพราะคนทุกคนเก่งไม่เหมือนกัน ต้องให้โอกาสกันครับ คนที่ด้วยประสบการณ์จะได้เก่ง)

เอามาแบ่งปัน หลังจากหายไปทำงานมานาน ^^

Tag : PHP

ประวัติการแก้ไข
2013-05-14 09:31:43

Date : 2013-05-14 09:22:26

By : apisitp

View : 1622

Reply : 9

No. 1

TC Admin

โพสกระทู้ ( 74,058 )
บทความ ( 838 )

ส่วนมากคนไทยนี่แหละครับ hack แล้วชอบทำลายครับ ผมเคยเจอแบบ query รายชื่อ user/password ของสมาชิกออกมาหมดเลยครับ แต่เป็นฝรั่ง แจ้งเข้ามา

Date : 2013-05-14 10:19:52

By : mr.win

No. 2

ReBirTh

โพสกระทู้ ( 309 )
บทความ ( 0 )

โลกใบนี้ นับวันยิ่งอยู่ยากขึ้นทุกวัน

Date : 2013-05-14 10:24:07

By : Necrotorture

No. 3

TC Admin

โพสกระทู้ ( 74,058 )
บทความ ( 838 )

ความไม่ประมาทครับ ผมเองยังใช้การ Backup ข้อมูลดูดมาเก็บไว้ทุกอาทิตย์เลยครับ ถ้าเกิดวันไหนอยู่ดี ๆ มีคนเข้าไปลบข้อมูลบน Server อย่างน้อยจะได้มี Backup ไว้ที่เครื่องของตัวเอง

Date : 2013-05-14 10:34:54

By : mr.win

No. 4

ReBirTh

โพสกระทู้ ( 309 )
บทความ ( 0 )

ถ้าโหลดพวก Libary ที่เค้าแจกๆ กัน มาใช้แทนการ พิมพ์ query เอง มันมีส่วนช่วยป้องกันได้มั้ยอ่าครับ

Date : 2013-05-14 10:44:31

By : Necrotorture

No. 5

TC Admin

โพสกระทู้ ( 74,058 )
บทความ ( 838 )

ถ้าเป็นพวก framework ผมว่าปัญหาพวกนี้ ถูกป้องกันไว้หมดแล้วครับ

Date : 2013-05-14 10:54:14

By : mr.win

No. 6

ReBirTh

โพสกระทู้ ( 309 )
บทความ ( 0 )

เยี่ยม ถึงเวลาที่เราต้องมาจับ framework แล้วหล่ะพี่วิน

Date : 2013-05-14 11:00:22

By : Necrotorture

No. 7

Mr.กล้า

โพสกระทู้ ( 5,105 )
บทความ ( 4 )

ของผมที่โดนครับ
เพราะหน้าเว็บพิมพ์เป็นภาษาไทยมาบอกครับ ฮ่า ๆ ๆ
นอกจาก SQL Injection จะมีมามุขไหนอีกไหมครับ
จะได้ป้องกันอีก เพราะส่วนตัว จะเขียน Code เอง

Date : 2013-05-14 11:11:40

By : apisitp

No. 8

เอี่ยว

โพสกระทู้ ( 3,468 )
บทความ ( 0 )

มันเป็นเรื่องสามัญครับ ตอนนี้ เราต้อง quote ทุกอย่าง รับค่าตัวเลขต้อง cast ให้เป็น int
แต่จริงๆ แล้วอาจยังมีจุดโหว่อื่นอีก เช่น โฮสเจาะเอง หรืออื่นๆ ที่เราไม่รู้อีก เช่นช่องโหว่ของเว็บเซิร์ฟเวอร์เอง ไวรัสดักคีย์บอร์ด
และอีกอย่างเวลาเก็บรหัสผ่านควร เข้ารหัสด้วย พี่วินก็ไม่เข้าคับ ผมรู้

นี่คือเหตุผลที่ต้องตั้งรหัสผ่านแต่ละเว็บไม่เหมือนกัน คิดดูถ้ามีคนรู้รหัสเราแล้วเข้าถึงได้หมดทุกอย่าง ไปจนถึงอีเมล sql injection ดูเล็กไปเลย

ประวัติการแก้ไข
2013-05-14 21:19:48
2013-05-14 21:23:04

Date : 2013-05-14 21:12:25

By : pjgunner.com

No. 9

TC Admin

โพสกระทู้ ( 74,058 )
บทความ ( 838 )

อิอิ

Date : 2013-05-14 21:19:30

By : mr.win

ค้นหาข้อมูล

แสดงความคิดเห็น

Re : มาเล่าสู่กันฟัง โดน SQL Injection Hack ไม่ได้ป้องกันเพราะคิดว่าเป็นหน่วยงานราชการเล็ก ๆ ....

รายละเอียด

เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง

โดย

อีเมล์

บวกค่าให้ถูก