Forgot Password ??

PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone

	Registered : 109,037

HOME > PHP > PHP Forum > เว็บผมโดนแฮคครับ น่าจะเป็น Sql injection ทั้งๆที่ใช้ mysqli_real_escape_string กับ mysqli แล้วก็ป้องกันไม่ได้ ต้องแก้ตรงไหนครับ

เว็บผมโดนแฮคครับ น่าจะเป็น Sql injection ทั้งๆที่ใช้ mysqli_real_escape_string กับ mysqli แล้วก็ป้องกันไม่ได้ ต้องแก้ตรงไหนครับ

เริ่มหัวข้อใหม่

โพสกระทู้ ( 471 )
บทความ ( 0 )

เว็บผมโดนแฮคครับ น่าจะเป็น Sql injection ทั้งๆที่ใช้ mysqli_real_escape_string กับ mysqli แล้วก็ป้องกันไม่ได้ ต้องแก้ตรงไหนครับ

คือคนที่แฮคทำการ update ค่าในคอลัมน์ username ทุกๆ row เป็น hacking หมดเลยครับ

ทั้งที่ใช้ mysqli_real_escape_string กับ mysqli แล้วก็ป้องกันไม่ได้ จะแก้อย่างไรดีครับ ขอบคุณครับ

อันนี้โค๊ดนะครับ

Code

<?php
if(isset($_POST["submit"]))
{
$username_use = mysqli_real_escape_string($db_mysqli,$_POST['username']);
$password_use = mysqli_real_escape_string($db_mysqli,$_POST['password']);
$email_use = mysqli_real_escape_string($db_mysqli,$_POST['email']);

$password_use = MD5($password_use);

//*** Session ***//
$username_use = strtolower($username_use);
$_SESSION["username_use"] = $username_use;

mysqli_query($db_mysqli,"INSERT INTO tes_ttable (username,password,email)
VALUES ('$username_use' , '$password_use' , '$email_use')");
}
?>

Tag : PHP, MySQL

ประวัติการแก้ไข
2018-03-12 09:39:05

Date : 2018-03-12 09:37:36

By : peap

View : 1328

Reply : 4

No. 1

mr.v

โพสกระทู้ ( 4,756 )
บทความ ( 8 )

การโดนแฮ็คไม่ใช่ว่าจะมาได้ช่องทางเดียว sql injection ยังมีทางอีกเยอะแยะที่จะโดน เช่น ใช้รหัสผ่านเดาง่าย, ใช้รหัสผ่านซ้ำกับเว็บอื่น, โค้ดส่วนอื่นๆมีช่องโหว่ที่ไม่ได้กัน sql injection มันก็เข้าได้ทั้งนั้น, แฮ็คผ่านการปลอม cookie, ไม่ได้กัน csrf, ฯลฯ

Date : 2018-03-12 09:59:50

By : mr.v

No. 2

Mr.กล้า

โพสกระทู้ ( 5,105 )
บทความ ( 4 )

ถ้าตั้ง pass แค่ 1234 จะใช้ md5 ก็ไม่ช่วยจริงๆ ครับ
เพิ่มอีกระดับใช้ php hash ช่วยครับ

Date : 2018-03-13 09:00:07

By : apisitp

No. 3

num

โพสกระทู้ ( 1,463 )
บทความ ( 1 )

สร้าง sql log เพื่อเช็คว่าถูก hack ผ่านเว็บจริงหรือเปล่าครับ
mysqli_query() .... ไม่ใช้ตรงเรียกใช้ผ่าน function ส่วนตัว q()

function q($db,$s){
//ถ้าจะให้ดีใส่ข้อมูล เวลา ข้อมูล ip และอื่นๆ และ insert ลง db แทนเขียนไฟล์จะได้ search ง่ายขึ้นครับ
$data = $s."\r\n";
file_put_contents(__DIR__.'/log.txt', $data, FILE_APPEND | LOCK_EX);
return mysqli_query($db,$s);
}

แต่ถ้าเขียนดีแล้วไม่มีปัญหา น่าจะโดน virus ฝังอยู่ในเว็บอยู่แล้วครับ ลอง scan virus ในเว็บด้วยเครื่องมือต่างๆ ดูนะครับ

Date : 2018-03-13 10:41:52

By : num

No. 4

Guest

เขาไม่ได้เข้ามา Update ผ่าน Form คุณแน่นอน
เขาเข้ามาเป็น Admin แล้ว เขียน Query Update
Password ไม่ Secured

Date : 2018-03-14 12:09:56

By : xman

ค้นหาข้อมูล

แสดงความคิดเห็น

Re : เว็บผมโดนแฮคครับ น่าจะเป็น Sql injection ทั้งๆที่ใช้ mysqli_real_escape_string กับ mysqli แล้วก็ป้องกันไม่ได้ ต้องแก้ตรงไหนครับ

รายละเอียด

เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง

โดย

อีเมล์

บวกค่าให้ถูก

<= ตัวเลขฮินดูอารบิก เช่น 123 (หรือล็อกอินเข้าระบบสมาชิกเพื่อไม่ต้องกรอก)

Exchange: นำเข้าสินค้าจากจีน, Taobao, เฟอร์นิเจอร์, ของพรีเมี่ยม, ร่ม, ปากกา, power bank, แฟลชไดร์ฟ, กระบอกน้ำ

Load balance : Server 01