Forgot Password ??

PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone

	Registered : 109,037

HOME > PHP > PHP Forum > php/mysql ถามเรื่องการเข้ารหัสด้วย mysql_real_escape_string ???

php/mysql ถามเรื่องการเข้ารหัสด้วย mysql_real_escape_string ???

เริ่มหัวข้อใหม่

Sumery

โพสกระทู้ ( 13 )
บทความ ( 0 )

Code (PHP)

$item = mysql_real_escape_string($_GET['item']);
		$visit_update = mysql_query("UPDATE tb_news SET visit_news=visit_news+1 WHERE id_news='$item' ");

ถามแอดมิน หรือผู้รู้ทั้งหลายครับ

ผมยังงงอยู่ (เพราะไม่ได้เรียนมาไงล่ะ)

ตามโค๊ดที่ผมเขียนข้างบน สามารถป้องกัน sql injection ได้หรือไม่

มั่วมานาน เป็นห่วงมากเลยครับ 5555+

Tag : PHP, HTML/CSS, JavaScript, CakePHP

Date : 2013-08-23 21:40:59

By : phaithoon

View : 2040

Reply : 7

No. 1

phpbasic

โพสกระทู้ ( 1,579 )
บทความ ( 3 )

mysql_real_escape_string ส่วนมากผมจะใช้สำหรับที่เป็นข้อความเท่านั้นครับ
ถ้าเป็นตัวเลขผมจะระบุชนิดไปเลย เช่น (int)$_GET['id']; ประมาณนี้ครับ

Date : 2013-08-24 00:21:29

By : somparn

No. 2

TC Admin

โพสกระทู้ ( 74,058 )
บทความ ( 838 )

Code (PHP)

<?php
// Connect
$link = mysql_connect('mysql_host', 'mysql_user', 'mysql_password')
    OR die(mysql_error());

// Query
$query = sprintf("SELECT * FROM users WHERE user='%s' AND password='%s'",
            mysql_real_escape_string($user),
            mysql_real_escape_string($password));
?>

php แนะนำเองเลย

Date : 2013-08-24 11:17:57

By : mr.win

No. 3

Sumery

โพสกระทู้ ( 13 )
บทความ ( 0 )

ตอบความคิดเห็นที่ : 2 เขียนโดย : mr.win เมื่อวันที่ 2013-08-24 11:17:57

รายละเอียดของการตอบ ::

แบบนี้พอจะเข้าใจนะครับพี่ แต่ว่า โค๊ดที่ผมเขียนน่ะครับ มันสามารถป้องกันพวก Sql injection ได้หรือไม่ครับ และก็ไม่รู้ว่าจะเขียนยังไงครับ ผมขอโทษจริง ๆ ไม่ได้เรียนมาครับ

อันที่จริง ตัวอย่างที่พี่แนะนำมาผมก็ทำแล้ว แต่ในลักษณะที่ผมถาม ผมไม่รู้จะทำยังไงนี่สิ รบกวนอีกรอบนะครับ

ขอบคุณคัรบ

Date : 2013-08-24 14:40:04

By : phaithoon

No. 4

phpinfo()

โพสกระทู้ ( 1,819 )
บทความ ( 20 )

ลองอ่านบทความนี้ดูนะครับ ผมเขียนไว้สักพักแล้ว อาจจะพอช่วยได้บ้าง มีอธิบายไว้เกือบหมดว่า SQL Injection คืออะไร ควรจะป้องกันอย่างไร mysql_real_escape_string() ทำงานอย่างไร และคำตอบของคำถามนี้อยู่ในนั้นครับ

สิ่งที่ทุกคนต้องรู้ ในการเขียนโปรแกรมด้วย PHP กับ MySQL หากไม่อยากให้ระบบที่เขียนนั้นถูก HACK ได้ !!!

Date : 2013-08-24 15:56:46

By : phpinfo()

No. 5

Guest

เพิ่มเติมนิดนึงครับ

ยกตัวอย่าง 2 กรณี

กรณีแรก มี ' (single quote)ครอบ

Code (PHP)

$id = $_GET['id'];
$sql = "select * from xxx where id='$id'";

ถ้าไม่ใช้ mysql_real_escape_string() จะ injection ได้ แต่ถ้าใช้ mysql_real_escape_string() ก็หมดปัญหา

กรณีที่ 2 ไม่มี ' (single quote)ครอบ

Code (PHP)

$id = $_GET['id'];
$sql = "select * from xxx where id=$id";

ไม่ใช้ mysql_real_escape_string()

หรือ ใช้ mysql_real_escape_string()

Code (PHP)

$id = mysql_real_escape_string($_GET['id']);
$sql = "select * from xxx where id=$id";

ก็ไม่ปลอดภัยทั้งนั้น

ในกรณีที่ใช้ sprintf ควรระบุให้ชัดว่าเป็น %s (string) หรือ %d (int 0-9) และควรจะใช้ mysql_real_escape_string() กับตัวแปรที่เป็น %s

วิธีที่ปลอดภัยที่สุดคือ ใช้ mysql_real_escape_string() กรองตัวแปรทุกตัวที่จะเอาเข้าไปเที่ยบในฐานข้อมูล และ ใช้ ' (single quote)ครอบด้วย บางครั้งเราป้องกันส่วน login แต่ไม่กรอง id เวลาที่จะ select ข้อมูลมาแสดง

การ injection ส่วนใหญ่ไม่ได้ต้องการ bypass เข้าหน้าสมาชิกเว็บหรือส่วนควบคุมเว็บ แต่ต้องการเจาะไปถึงฐานข้อมูล เอาชื่อ DB table ข้อมูลอื่นๆ ทั้งหมด และไม่ได้หมดเพียงแค่นั้น

Date : 2013-08-24 18:02:56

By : โปรแกรมมั่ว

No. 6

Sumery

โพสกระทู้ ( 13 )
บทความ ( 0 )

ตอบความคิดเห็นที่ : 5 เขียนโดย : โปรแกรมมั่ว เมื่อวันที่ 2013-08-24 18:02:56

รายละเอียดของการตอบ ::

ละเอียดดี ขอบคุณมากครับ

อย่างนี้แหละค่อยเหมาะกับ คนไม่ได้เรียนมาครับ

แท้งกิ้ว

Date : 2013-08-25 16:57:01

By : phaithoon

No. 7

Sumery

โพสกระทู้ ( 13 )
บทความ ( 0 )

ตอบความคิดเห็นที่ : 4 เขียนโดย : phpinfo() เมื่อวันที่ 2013-08-24 15:56:46

รายละเอียดของการตอบ ::

ขอบคุณอีกบทความหนึ่ง ครับ

Date : 2013-08-25 17:06:55