วิธีป้องกัน SQL injection PHP กับ codeigniter



บ่อยครั้งคที่เราเขียนโปรแกรมโดยที่ไม่คำนึงถึงความปลอดภัย
เปิดช่องโหว่ให้ผู้ไม่หวังดีสามารถใส่ SQL Injection เข้ามาได้ ยกตัวอย่างเช่น

หน้าจอ login ถ้าเรา รับ parameter เป็น username กับ password แล้วนำไปใช้ใน SQL Query
แบบง่ายๆ เช่น

select * from muser where username='$user_name' and password='$passwrod'

ดูแล้วก็ไม่น่าจะมีอะไรแต่ลองนึกภาพดูนะ ยกตัวอย่างจาก statement ข้างต้น สิ่งที่ได้คือคำสั่งนี้

select * from muser where username='admin' and password='admin1234'

ถ้าหากผู้ไม่หวังดีส่งค่าของ $password เข้ามาแบบนี้ล่ะ    test' or '1'='1 
ลองแทนค่าดูก็จะได้แบบนี้

select * from muser where username='admin' and password='test' or '1'='1'

คำสั่ง or 1=1 เป็นจริงเสมอรับรองได้เลยว่าไม่ว่าจะใส่ username , password มั่วๆ เข้ามา
ก็สามารถทะลุหน้าจอ login เราเข้าไปได้แน่นอน
แบบนี้แหละเขาเรียกว่าปัญหา  SQL injection 

แนวทางแก้แบบง่ายๆ เลยนะให้เปลี่ยนไปใช้คำสั่งนี้ครับ

$dbResult = $this->db->query("SELECT * FROM users WHERE username = ?", array($this->input->post('username')));

เพียงเท่านี้ก็สามารถป้องกันปัญหา SQL injection ได้แล้ว

ความคิดเห็น

แสดงความคิดเห็น

โพสต์ยอดนิยมจากบล็อกนี้

java -Xms , java -Xmx กำหมด memory ให้ JVM เพื่อป้องกันปัญหา Out of Memory

บทความเกี่ยวกับ : java -Xms , java -Xmx กำหมด memory ให้ JVM เพื่อป้องกันปัญหา Out of Memory หลายคนคงจะเจอปัญหา out of memory เนื่องจากแรมไม่พอให้ JVM ใช้งาน เหตุการแบบนี้อาจะเกิดจากความผิดพลาดในการคืน resource ของ Programmer เอง แต่บางครั้ง Program ที่เขียนก็มีความต้องการใช้ Memory จำนวนมากจริงๆ เกินกว่าค่า default ที่กำหนดไว้ ซึ่งหากเราต้องการปรับแก้ให้ใช้คำสั่ง    - java -Xms init ค่า heap size     โดย Xms นั้นจะเป็นการกำหนดค่า ตั้งต้นของ Memory ไว้เป็นขั้นต่ำจากนั้นจะค่อยๆ เพิ่ม      ถ้าหากมีความจำเป็นต้องการใช้ Memory  ในบางช่วง Peak โดยมากสุดจะไม่เกิน Xmx      ค่าตั้งต้นควรกำหนดให้เหมาะสม ถ้าน้อยเกินไปก็จะทำให้ต้องเสียเวลานในการขยาย      แต่ถ้ามากเกินไปก็จะเป็นการจอง Memory ไว้จนเกินความจำเป็น    - java -Xmx max heap size      ค่านี้เป็นค่าสูงสุดที่ Java จะทำการขยาย Memory เพื่อให้รองรับ load งานต่างๆ ของเราได้      การกำหนด Value ตรงนี้น้อยไปอ...
อ่านเพิ่มเติม

Oracle date format จัด format date ให้แสดง พศ และ เดือน ภาษาไทยหรือตามภาษาที่เราเลือก

บทความเกี่ยวกับ : Oracle date format จัด format date ให้แสดง พศ และ เดือน ภาษาไทยหรือตามภาษาที่เราเลือก วันนี้จะนำเสอนวิธีการจัด Format วันที่ใน Oracle ครับ หลายๆ คนคงเคยเจอปัญหาเรื่องการแสดง พ.ศ. หรือ ชื่อเดือนให้เป็นภาษาไทยหรือจะเอาภาษาอะไรก็ได้ตามที่เราต้องการ วันนี้จะเอาวิธีง่่ายๆ มาฝากครับ หากคุณกำลังต้องการ จัด Format วันที่ใน Oracle ให้เป็นแบบนี้ คุณมาถูกที่แล้วครับ 20 พ.ย. 2554 20 NOV 2011 วิธีการทำแบบนี้ครับ SELECT TO_CHAR(SYSDATE, 'dd MON yyyy', 'NLS_CALENDAR=''THAI BUDDHA'' NLS_DATE_LANGUAGE=THAI')  FROM DUAL แบบนี้จะแสดง 28 ธ.ค. 2554 ครับ ตัวแปรที่สำคัญคือ - 'dd MON yyyy'   อันนี้เป็น format ครับ MON เพราะผมต้องการตัวย่อเดือน - NLS_CALENDAR ตัวนี้แหละครับที่ทำให้ พศ แสดงเป็น พุทธศักราช 2554 (THAI BUDDHA) - NLS_DATE_LANGUAGE  ตัวนี้กำหนดให้แสดงเดือนเป็นภาษาไทยครับ (THAI) ถ้าเราอยากแสดงเป็นภาษาอังกฤษ ก็ง่ายๆตามนี้ครับ SELECT TO_CHAR(SYSDATE, 'dd MON yyyy', ' NLS_DATE_LANGUAGE=AMERICAN...
อ่านเพิ่มเติม

Java this กับ super การใช้งานคำสั่ง this กับ super ใน ภาษา Java

บทความเกี่ยวกับ : Java this กับ super การใช้งานคำสั่ง this กับ super ใน ภาษา Java คำสั่ง this กับ super มีความสำคัญกับการเขียนโปรแกรมในภาษา Java แน่นอน เนื่องจาก ภาษา Java มีโครงสร้างภาษาแบบ OOP ซึ่งจุดเด่นที่ขาดไม่ได้คือ เรื่องของ การสืบทอดคุณสมบัติ แล้วการสืบทอดคุณสมบัติ หรือ Inherit มันเกี่ยวกับ this หรือ super ยังไง เรามาดูกัน แน่นอนเมื่อมีการสืบทอดมันก็ย่อมมีเรื่องของการทับซ้อนของ method ต่างๆ ของ Class แม่กับ Class ลูก อาจเนื่องมาจากการทำ Override Method เมื่อเกิดเหตุการณ์แบบนี้ขึ้น คำถามก็มีอยู่ว่า เราจะแยกแยะ Method ที่เหมือนกันของ Class แม่กับ class ปัจจุบันยังไง นี่คือที่มาที่ทำให้เราต้องเรียกใช้ คำสั่ง this และ super - this  ใช้เพื่อเรียก ตัวแปร หรือ method ของ Class เราเอง - super ใช้เพื่อเรียก ตัวแปร หรือ method ของ Classแม่ที่เราสืบทอดมา
อ่านเพิ่มเติม