Register Register Member Login Member Login Member Login Forgot Password ??
PHP , ASP , ASP.NET, VB.NET, C#, Java , jQuery , Android , iOS , Windows Phone
 

Registered : 109,037

HOME > PHP > PHP Forum > เว็บผมโดนแฮคครับ น่าจะเป็น Sql injection ทั้งๆที่ใช้ mysqli_real_escape_string กับ mysqli แล้วก็ป้องกันไม่ได้ ต้องแก้ตรงไหนครับ



 

เว็บผมโดนแฮคครับ น่าจะเป็น Sql injection ทั้งๆที่ใช้ mysqli_real_escape_string กับ mysqli แล้วก็ป้องกันไม่ได้ ต้องแก้ตรงไหนครับ

 



Topic : 130533



โพสกระทู้ ( 471 )
บทความ ( 0 )



สถานะออฟไลน์




เว็บผมโดนแฮคครับ น่าจะเป็น Sql injection ทั้งๆที่ใช้ mysqli_real_escape_string กับ mysqli แล้วก็ป้องกันไม่ได้ ต้องแก้ตรงไหนครับ

คือคนที่แฮคทำการ update ค่าในคอลัมน์ username ทุกๆ row เป็น hacking หมดเลยครับ

ทั้งที่ใช้ mysqli_real_escape_string กับ mysqli แล้วก็ป้องกันไม่ได้ จะแก้อย่างไรดีครับ ขอบคุณครับ

อันนี้โค๊ดนะครับ

Code
<?php
if(isset($_POST["submit"]))
{
$username_use = mysqli_real_escape_string($db_mysqli,$_POST['username']);
$password_use = mysqli_real_escape_string($db_mysqli,$_POST['password']);
$email_use = mysqli_real_escape_string($db_mysqli,$_POST['email']);

$password_use = MD5($password_use);

//*** Session ***//
$username_use = strtolower($username_use);
$_SESSION["username_use"] = $username_use;

mysqli_query($db_mysqli,"INSERT INTO tes_ttable (username,password,email)
VALUES ('$username_use' , '$password_use' , '$email_use')");
}
?>




Tag : PHP, MySQL









ประวัติการแก้ไข
2018-03-12 09:39:05
Move To Hilight (Stock) 
Send To Friend.Bookmark.
Date : 2018-03-12 09:37:36 By : peap View : 1331 Reply : 4
 

 

No. 1



โพสกระทู้ ( 4,756 )
บทความ ( 8 )



สถานะออฟไลน์


การโดนแฮ็คไม่ใช่ว่าจะมาได้ช่องทางเดียว sql injection ยังมีทางอีกเยอะแยะที่จะโดน เช่น ใช้รหัสผ่านเดาง่าย, ใช้รหัสผ่านซ้ำกับเว็บอื่น, โค้ดส่วนอื่นๆมีช่องโหว่ที่ไม่ได้กัน sql injection มันก็เข้าได้ทั้งนั้น, แฮ็คผ่านการปลอม cookie, ไม่ได้กัน csrf, ฯลฯ






แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2018-03-12 09:59:50 By : mr.v
 


 

No. 2



โพสกระทู้ ( 5,105 )
บทความ ( 4 )

สมาชิกที่ใส่เสื้อไทยครีเอท Hall of Fame 2012

สถานะออฟไลน์


ถ้าตั้ง pass แค่ 1234 จะใช้ md5 ก็ไม่ช่วยจริงๆ ครับ
เพิ่มอีกระดับใช้ php hash ช่วยครับ
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2018-03-13 09:00:07 By : apisitp
 

 

No. 3



โพสกระทู้ ( 1,463 )
บทความ ( 1 )

สมาชิกที่ใส่เสื้อไทยครีเอท

สถานะออฟไลน์
Twitter Blogger

สร้าง sql log เพื่อเช็คว่าถูก hack ผ่านเว็บจริงหรือเปล่าครับ
mysqli_query() .... ไม่ใช้ตรงเรียกใช้ผ่าน function ส่วนตัว q()

function q($db,$s){
//ถ้าจะให้ดีใส่ข้อมูล เวลา ข้อมูล ip และอื่นๆ และ insert ลง db แทนเขียนไฟล์จะได้ search ง่ายขึ้นครับ
$data = $s."\r\n";
file_put_contents(__DIR__.'/log.txt', $data, FILE_APPEND | LOCK_EX);
return mysqli_query($db,$s);
}


แต่ถ้าเขียนดีแล้วไม่มีปัญหา น่าจะโดน virus ฝังอยู่ในเว็บอยู่แล้วครับ ลอง scan virus ในเว็บด้วยเครื่องมือต่างๆ ดูนะครับ
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2018-03-13 10:41:52 By : num
 


 

No. 4

Guest


เขาไม่ได้เข้ามา Update ผ่าน Form คุณแน่นอน
เขาเข้ามาเป็น Admin แล้ว เขียน Query Update
Password ไม่ Secured
แสดงความคิดเห็นโดยอ้างถึง ความคิดเห็นนี้
Date : 2018-03-14 12:09:56 By : xman
 

   

ค้นหาข้อมูล


   
 

แสดงความคิดเห็น
Re : เว็บผมโดนแฮคครับ น่าจะเป็น Sql injection ทั้งๆที่ใช้ mysqli_real_escape_string กับ mysqli แล้วก็ป้องกันไม่ได้ ต้องแก้ตรงไหนครับ
 
 
รายละเอียด
 
ตัวหนา ตัวเอียง ตัวขีดเส้นใต้ ตัวมีขีดกลาง| ตัวเรืองแสง ตัวมีเงา ตัวอักษรวิ่ง| จัดย่อหน้าอิสระ จัดย่อหน้าชิดซ้าย จัดย่อหน้ากึ่งกลาง จัดย่อหน้าชิดขวา| เส้นขวาง| ขนาดตัวอักษร แบบตัวอักษร
ใส่แฟลช ใส่รูป ใส่ไฮเปอร์ลิ้งค์ ใส่อีเมล์ ใส่ลิ้งค์ FTP| ใส่แถวของตาราง ใส่คอลัมน์ตาราง| ตัวยก ตัวห้อย ตัวพิมพ์ดีด| ใส่โค้ด ใส่การอ้างถึงคำพูด| ใส่ลีสต์
smiley for :lol: smiley for :ken: smiley for :D smiley for :) smiley for ;) smiley for :eek: smiley for :geek: smiley for :roll: smiley for :erm: smiley for :cool: smiley for :blank: smiley for :idea: smiley for :ehh: smiley for :aargh: smiley for :evil:
Insert PHP Code
Insert ASP Code
Insert VB.NET Code Insert C#.NET Code Insert JavaScript Code Insert C#.NET Code
Insert Java Code
Insert Android Code
Insert Objective-C Code
Insert XML Code
Insert SQL Code
Insert Code
เพื่อความเรียบร้อยของข้อความ ควรจัดรูปแบบให้พอดีกับขนาดของหน้าจอ เพื่อง่ายต่อการอ่านและสบายตา และตรวจสอบภาษาไทยให้ถูกต้อง

อัพโหลดแทรกรูปภาพ

Notice

เพื่อความปลอดภัยของเว็บบอร์ด ไม่อนุญาติให้แทรก แท็ก [img]....[/img] โดยการอัพโหลดไฟล์รูปจากที่อื่น เช่นเว็บไซต์ ฟรีอัพโหลดต่าง ๆ
อัพโหลดแทรกรูปภาพ ให้ใช้บริการอัพโหลดไฟล์ของไทยครีเอท และตัดรูปภาพให้พอดีกับสกรีน เพื่อความโหลดเร็วและไฟล์ไม่ถูกลบทิ้ง

   
  เพื่อความปลอดภัยและการตรวจสอบ กระทู้ที่แทรกไฟล์อัพโหลดไฟล์จากที่อื่น อาจจะถูกลบทิ้ง
 
โดย
อีเมล์
บวกค่าให้ถูก
<= ตัวเลขฮินดูอารบิก เช่น 123 (หรือล็อกอินเข้าระบบสมาชิกเพื่อไม่ต้องกรอก)







Exchange: นำเข้าสินค้าจากจีน, Taobao, เฟอร์นิเจอร์, ของพรีเมี่ยม, ร่ม, ปากกา, power bank, แฟลชไดร์ฟ, กระบอกน้ำ

Load balance : Server 02
ThaiCreate.Com Logo
© www.ThaiCreate.Com. 2003-2024 All Rights Reserved.
ไทยครีเอทบริการ จัดทำดูแลแก้ไข Web Application ทุกรูปแบบ (PHP, .Net Application, VB.Net, C#)
[Conditions Privacy Statement] ติดต่อโฆษณา 081-987-6107 อัตราราคา คลิกที่นี่