|
|
|
เว็บผมโดนแฮคครับ น่าจะเป็น Sql injection ทั้งๆที่ใช้ mysqli_real_escape_string กับ mysqli แล้วก็ป้องกันไม่ได้ ต้องแก้ตรงไหนครับ |
|
|
|
|
|
|
|
การโดนแฮ็คไม่ใช่ว่าจะมาได้ช่องทางเดียว sql injection ยังมีทางอีกเยอะแยะที่จะโดน เช่น ใช้รหัสผ่านเดาง่าย, ใช้รหัสผ่านซ้ำกับเว็บอื่น, โค้ดส่วนอื่นๆมีช่องโหว่ที่ไม่ได้กัน sql injection มันก็เข้าได้ทั้งนั้น, แฮ็คผ่านการปลอม cookie, ไม่ได้กัน csrf, ฯลฯ
|
|
|
|
|
Date :
2018-03-12 09:59:50 |
By :
mr.v |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ถ้าตั้ง pass แค่ 1234 จะใช้ md5 ก็ไม่ช่วยจริงๆ ครับ
เพิ่มอีกระดับใช้ php hash ช่วยครับ
|
|
|
|
|
Date :
2018-03-13 09:00:07 |
By :
apisitp |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
สร้าง sql log เพื่อเช็คว่าถูก hack ผ่านเว็บจริงหรือเปล่าครับ
mysqli_query() .... ไม่ใช้ตรงเรียกใช้ผ่าน function ส่วนตัว q()
function q($db,$s){
//ถ้าจะให้ดีใส่ข้อมูล เวลา ข้อมูล ip และอื่นๆ และ insert ลง db แทนเขียนไฟล์จะได้ search ง่ายขึ้นครับ
$data = $s."\r\n";
file_put_contents(__DIR__.'/log.txt', $data, FILE_APPEND | LOCK_EX);
return mysqli_query($db,$s);
}
แต่ถ้าเขียนดีแล้วไม่มีปัญหา น่าจะโดน virus ฝังอยู่ในเว็บอยู่แล้วครับ ลอง scan virus ในเว็บด้วยเครื่องมือต่างๆ ดูนะครับ
|
|
|
|
|
Date :
2018-03-13 10:41:52 |
By :
num |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
เขาไม่ได้เข้ามา Update ผ่าน Form คุณแน่นอน
เขาเข้ามาเป็น Admin แล้ว เขียน Query Update
Password ไม่ Secured
|
|
|
|
|
Date :
2018-03-14 12:09:56 |
By :
xman |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Load balance : Server 02
|