Register Register Member Login Member Login Member Login Forgot Password ??
PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone
 

Registered : 109,037

HOME > PHP > PHP Forum > ปัญหาคาใจ การรับข้อมูลจาก Form ที่ปลอดภัยที่สุด ควรทำอย่างไร



 

ปัญหาคาใจ การรับข้อมูลจาก Form ที่ปลอดภัยที่สุด ควรทำอย่างไร

 



Topic : 117892



โพสกระทู้ ( 86 )
บทความ ( 0 )



สถานะออฟไลน์




ผมรบกวนสอบถามด้วยครับ เกี่ยวกับประเด็นความปลอดภัยของการส่งข้อมูลจากฟอร์ม

คือถ้ามี form สำหรับกรอกข้อมูล ชื่อ data.html ดังนี้
data.html
<form action='data_insert.php' method='POST'>
<input type='text' name='nameuser' id='nameuser' requred>
<button type="submit" name="submited">Submit</button>
</form>



และมีไฟล์ data_insert.php สำหรับทำการส่งข้อมูลลงฐานข้อมูล ดังนี้

Code (PHP)
<?php
require 'connectdb.php';

if(isset($_POST['nameuser'])){
    isset($_POST['nameuser']) ? $unameuser = mysqli_real_escape_string($dbcon, $_POST['nameuser']) : $unameuser = '';
    $sql = "INSERT INTO USER (name) VALUES (?)";
    $stmt = mysqli_prepare($dbcon, $sql);
    mysqli_stmt_bind_param($stmt, "s", mysqli_real_escape_string($dbcon,$unameuser));
    $result_user = mysqli_execute($stmt);

    if($result_user){ 
	      echo "<scritp>alert('เพิ่มชื่อแล้ว');</script>"; 
    	  header('Location: data.html'); 
       die();
     }else {
	      echo "<scritp>alert('ไม่สามารถเพิ่มข้อมูลได้');</script>"; 
    	  header('Location: data.html');
       die(); 
}
}else {
  header('Location: data.html'); 
  die();
}
?>


ผมมีข้อสงสัยเรื่องความปลอดภัยว่า

1. จะป้องกันไม่ให้มีการมารันไฟล์ data_insert.php โดยไม่กรอกฟอร์ม data.html ก่อน ถึงจะมีการเช็คแล้ว
- ด้วยการ requred ของ html เอง
- ด้วย JavaScript
แต่ผมก็ยังคิดว่าไม่พอ

2. เช่นถ้ามีใครก็ไม่รู้ สร้างไฟล์ html แล้วทำหน้าตาฟอร์มแบบเดียวกัน แล้วรันมายัง data_insert.php ผ่าน url: http://.......... ก็ทำให้มีการบันทึกข้อมูลลงได้เช่นกัน

3. ความปลอดภัยในการทำงานเมื่อรับค่าจาก Form เองก็เช่นกันครับ ถึงจะมีการใช้งานคำสั่ง isset($_POST['........']) , mysqli_real_escape_string และ คำสั่งmysqli_prepare แล้ว
ถือว่าเพียงพอหรือยังครับ หรือยังต้องเพิ่มเติมอะไรอีกบ้าง

โปรดชี้แนะด้วยนะครับ



Tag : PHP, MySQL, Ms SQL Server 2012, Oracle








ประวัติการแก้ไข
2015-07-18 14:21:34
2015-07-18 15:14:59
2015-07-18 15:17:30
2015-07-18 19:32:25
Move To Hilight (Stock) 
Send To Friend.Bookmark.
Date : 2015-07-18 14:19:22 By : accio View : 2393 Reply : 1
 

 

No. 1



โพสกระทู้ ( 4,756 )
บทความ ( 8 )



สถานะออฟไลน์


กรณีนี้เรียกว่าการใช้ช่องโหว่โจมตีแบบ csrf คือสร้างฟอร์มปลอมขึ้นมาหลอกให้ผู้ใช้เป้าหมายหลงกรอกข้อมูลด้วยวิธีใดวิธีหนึ่ง เช่น ทำเป็นรูปธรรมดา แต่เมื่อคลิกรูปก็จะรัน javascript ไปยัง data_insert.php ผ่าน ajax

ทางแก้คือเอาตัวป้องกัน csrf มาใช้ ซึ่งมีแจกเยอะแยะมากมาย
ลองหา csrf protection php
ผมใช้ตัวนี้อยู่ http://bkcore.com/blog/code/nocsrf-php-class.html

หลักการคือเมื่อสร้าง <form> html มันจะสร้าง token ขึ้นมาใส่ session หรือ cookie (แนะนำ session) แล้วก็สร้าง token นั้นใส่เป็น input hidden
ตอนรับมันก็จะรับทั้ง input hidden และ session เอาไปเช็ค คือถ้าฟอร์มหน้าปลอมจะมี input hidden token ก็ตามแต่จะไม่มี session ที่ generate ตอนสร้าง <form> ก็จะส่งข้อมูลไม่ผ่าน


แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2015-07-18 21:51:04 By : mr.v
 

   

ค้นหาข้อมูล
   
 

แสดงความคิดเห็น
Re : ปัญหาคาใจ การรับข้อมูลจาก Form ที่ปลอดภัยที่สุด ควรทำอย่างไร
 
 
รายละเอียด
 
ตัวหนา ตัวเอียง ตัวขีดเส้นใต้ ตัวมีขีดกลาง| ตัวเรืองแสง ตัวมีเงา ตัวอักษรวิ่ง| จัดย่อหน้าอิสระ จัดย่อหน้าชิดซ้าย จัดย่อหน้ากึ่งกลาง จัดย่อหน้าชิดขวา| เส้นขวาง| ขนาดตัวอักษร แบบตัวอักษร
ใส่แฟลช ใส่รูป ใส่ไฮเปอร์ลิ้งค์ ใส่อีเมล์ ใส่ลิ้งค์ FTP| ใส่แถวของตาราง ใส่คอลัมน์ตาราง| ตัวยก ตัวห้อย ตัวพิมพ์ดีด| ใส่โค้ด ใส่การอ้างถึงคำพูด| ใส่ลีสต์
smiley for :lol: smiley for :ken: smiley for :D smiley for :) smiley for ;) smiley for :eek: smiley for :geek: smiley for :roll: smiley for :erm: smiley for :cool: smiley for :blank: smiley for :idea: smiley for :ehh: smiley for :aargh: smiley for :evil:
Insert PHP Code
Insert ASP Code
 Insert VB.NET Code Insert C#.NET Code Insert JavaScript Code Insert C#.NET Code
Insert Java Code
Insert Android Code
Insert Objective-C Code
Insert XML Code
Insert SQL Code
Insert Code
เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

   
  เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง
 
โดย
อีเมล์
บวกค่าให้ถูก
<= ตัวเลขฮินดูอารบิก เช่น 123 (หรือล็อกอินเข้าระบบสมาชิกเพื่อไม่ต้องกรอก)







Exchange: นำเข้าสินค้าจากจีน, Taobao, เฟอร์นิเจอร์, ของพรีเมี่ยม, ร่ม, ปากกา, power bank, แฟลชไดร์ฟ, กระบอกน้ำ

Load balance : Server 05
ThaiCreate.Com Logo
© www.ThaiCreate.Com. 2003-2024 All Rights Reserved.
ไทยครีเอทบริการ จัดทำดูแลแก้ไข Web Application ทุกรูปแบบ (PHP, .Net Application, VB.Net, C#)
[Conditions Privacy Statement] ติดต่อโฆษณา 081-987-6107 อัตราราคา คลิกที่นี่