Forgot Password ??

PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone

	Registered : 109,038

HOME > PHP > PHP Forum > ปัญหาคาใจ การรับข้อมูลจาก Form ที่ปลอดภัยที่สุด ควรทำอย่างไร

ปัญหาคาใจ การรับข้อมูลจาก Form ที่ปลอดภัยที่สุด ควรทำอย่างไร

เริ่มหัวข้อใหม่

accio

โพสกระทู้ ( 86 )
บทความ ( 0 )

ผมรบกวนสอบถามด้วยครับ เกี่ยวกับประเด็นความปลอดภัยของการส่งข้อมูลจากฟอร์ม

คือถ้ามี form สำหรับกรอกข้อมูล ชื่อ data.html ดังนี้
data.html

<form action='data_insert.php' method='POST'>
<input type='text' name='nameuser' id='nameuser' requred>
<button type="submit" name="submited">Submit</button>
</form>

และมีไฟล์ data_insert.php สำหรับทำการส่งข้อมูลลงฐานข้อมูล ดังนี้

Code (PHP)

<?php
require 'connectdb.php';

if(isset($_POST['nameuser'])){
    isset($_POST['nameuser']) ? $unameuser = mysqli_real_escape_string($dbcon, $_POST['nameuser']) : $unameuser = '';
    $sql = "INSERT INTO USER (name) VALUES (?)";
    $stmt = mysqli_prepare($dbcon, $sql);
    mysqli_stmt_bind_param($stmt, "s", mysqli_real_escape_string($dbcon,$unameuser));
    $result_user = mysqli_execute($stmt);

    if($result_user){ 
	      echo "<scritp>alert('เพิ่มชื่อแล้ว');</script>"; 
    	  header('Location: data.html'); 
       die();
     }else {
	      echo "<scritp>alert('ไม่สามารถเพิ่มข้อมูลได้');</script>"; 
    	  header('Location: data.html');
       die(); 
}
}else {
  header('Location: data.html'); 
  die();
}
?>

ผมมีข้อสงสัยเรื่องความปลอดภัยว่า

1. จะป้องกันไม่ให้มีการมารันไฟล์ data_insert.php โดยไม่กรอกฟอร์ม data.html ก่อน ถึงจะมีการเช็คแล้ว
- ด้วยการ requred ของ html เอง
- ด้วย JavaScript
แต่ผมก็ยังคิดว่าไม่พอ

2. เช่นถ้ามีใครก็ไม่รู้ สร้างไฟล์ html แล้วทำหน้าตาฟอร์มแบบเดียวกัน แล้วรันมายัง data_insert.php ผ่าน url: http://.......... ก็ทำให้มีการบันทึกข้อมูลลงได้เช่นกัน

3. ความปลอดภัยในการทำงานเมื่อรับค่าจาก Form เองก็เช่นกันครับ ถึงจะมีการใช้งานคำสั่ง isset($_POST['........']) , mysqli_real_escape_string และ คำสั่งmysqli_prepare แล้ว
ถือว่าเพียงพอหรือยังครับ หรือยังต้องเพิ่มเติมอะไรอีกบ้าง

โปรดชี้แนะด้วยนะครับ

Tag : PHP, MySQL, Ms SQL Server 2012, Oracle

ประวัติการแก้ไข
2015-07-18 14:21:34
2015-07-18 15:14:59
2015-07-18 15:17:30
2015-07-18 19:32:25

Date : 2015-07-18 14:19:22

By : accio

View : 2454

Reply : 1

No. 1

mr.v

โพสกระทู้ ( 4,764 )
บทความ ( 8 )

กรณีนี้เรียกว่าการใช้ช่องโหว่โจมตีแบบ csrf คือสร้างฟอร์มปลอมขึ้นมาหลอกให้ผู้ใช้เป้าหมายหลงกรอกข้อมูลด้วยวิธีใดวิธีหนึ่ง เช่น ทำเป็นรูปธรรมดา แต่เมื่อคลิกรูปก็จะรัน javascript ไปยัง data_insert.php ผ่าน ajax

ทางแก้คือเอาตัวป้องกัน csrf มาใช้ ซึ่งมีแจกเยอะแยะมากมาย
ลองหา csrf protection php
ผมใช้ตัวนี้อยู่ http://bkcore.com/blog/code/nocsrf-php-class.html

หลักการคือเมื่อสร้าง <form> html มันจะสร้าง token ขึ้นมาใส่ session หรือ cookie (แนะนำ session) แล้วก็สร้าง token นั้นใส่เป็น input hidden
ตอนรับมันก็จะรับทั้ง input hidden และ session เอาไปเช็ค คือถ้าฟอร์มหน้าปลอมจะมี input hidden token ก็ตามแต่จะไม่มี session ที่ generate ตอนสร้าง <form> ก็จะส่งข้อมูลไม่ผ่าน

Date : 2015-07-18 21:51:04

By : mr.v

ค้นหาข้อมูล

แสดงความคิดเห็น

Re : ปัญหาคาใจ การรับข้อมูลจาก Form ที่ปลอดภัยที่สุด ควรทำอย่างไร

รายละเอียด

เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง

โดย

อีเมล์

บวกค่าให้ถูก

<= ตัวเลขฮินดูอารบิก เช่น 123 (หรือล็อกอินเข้าระบบสมาชิกเพื่อไม่ต้องกรอก)

Load balance : Server 05

Registered : 109,038

document.write("<font color=996600>[PHP]</font>"); ปัญหาคาใจ การรับข้อมูลจาก Form ที่ปลอดภัยที่สุด ควรทำอย่างไร

No. 1

ค้นหาข้อมูล

อัพโหลดแทรกรูปภาพ

Notice

ปัญหาคาใจ การรับข้อมูลจาก Form ที่ปลอดภัยที่สุด ควรทำอย่างไร