tailieunhanh - Anti PHP-SQL Injection

Hầu hết các lỗi SQL Injection đều là do câu lệnh SQL sai hoặc do User làm cho câu lệnh SQL sai , không thực hiện đúng chức năng của nó í dụ như chúng ta có một Script kiểm tra đăng nhập như sau : 0) { //Đăng nhập thành công } else { //Đăng nhập không đúng Username hay Password } //. ? - Đoạn Script trên là một đoạn Script rất đơn giản thực hiện Login thông qua câu SQL kiểm tra username và password . Câu lệnh SQL nguyên thủy là : SELECT * FROM users. | Anti PHP-SQL Injection Hầu hết các lỗi SQL Injection đều là do câu lệnh SQL sai hoặc do User làm cho câu lệnh SQL sai không thực hiện đúng chức năng của nó í dụ như chúng ta có một Script kiểm tra đăng nhập như sau Các lệnh Connect vào SQL Database .. Susername _POST username Lấy User và Pass từ Form password _POST password result mysql_query SELECT FROM users WHERE user username AND password password if mysql_num_rows result 0 Đăng nhập thành công else Đăng nhập không đúng Username hay Password . - Đoạn Script trên là một đoạn Script rất đơn giản thực hiện Login thông qua câu SQL kiểm tra username và password . Câu lệnh SQL nguyên thủy là SELECT FROM users WHERE user username AND password password - Tuy nhiên đây lại là một SQL Injection vô cùng lớn nếu như User nhập biến User là OR 1 OR user - Khi đó lệnh SQL sẽ trở thành SELECT FROM users WHERE user OR 1 OR user AND password password - Kết quả trả về sẽ là toàn bộ user trong Database và dĩ nhiên đây là một trường hợp Login không hợp lệ biến password cũng có thể sữ dụng để tạo SQL Injection . Thực ra lỗi trên là do biến Susername có thể fix bằng cách kiểm tra biến user rồi sau đó mới kiểm tra biến pass hoặc một cách nhanh hơn fix được hầu hết tất cả các lỗi SQL Injection mà chỉ cần sữ dụng một hàm có sẵn của PHP đó là hàm addslashes . - Xin nói một chút về hàm addslashes hàm này sẽ trả về một chuỗi với dấu trước các ký tự cần trích dẫn trong Database các ký tự đó là và NUL 0 . - Cấu trúc hàm addslashes string addslashes string str - Nhờ có hàm addslashes mà câu lệnh SQL của ta sẽ trở thành SELECT FROM users WHERE user OR 1 OR user AND password password - Như vậy thì câu lệnh SQL sẽ hoạt động đúng như chức năng của nó . Một số lỗi SQL Injection khác cũng có thể khắc phục bằng phương pháp này. Tôi cũng xin nhắc lại là phương pháp này chỉ fix được hầu hết tất cả các lỗi SQL Injection tức là các lỗi do biến PHP gây ra còn các lỗi do bản thân câu lệnh SQL thì cách này không có hiệu quả gì. Tuy nhiên nếu dùng phương

• Cơ sở dữ liệu
• Javascript
• ASP
• NET
• Tin học đại cương
• giáo trình Tin học đại cương
• bài giảng Tin học đại cương
• tài liệu Tin học đại cương
• lý thuyết Tin học đại cương
• Làm quen với JavaScript
• Lịch sử JavaScript
• Mục đích của JavaScript và browser
• Chương trình JavaScript
• Vị trí mã JavaScript
• Sơ lược về mã JavaScript
• Bài giảng Javascript 1
• Giới thiệu Javascript
• Cách đưa Javascript vào trong HTML
• Kiểu dữ liệu trong Javascript
• Biến trong Javascript
• Từ khoá của Javascript
• Bài giảng Ngôn ngữ Javascript
• Ngôn ngữ Javascript
• Ngôn ngữ kịch bản
• Sử dụng ngôn ngữ Javascript
• Hướng dẫn sử dụng ngôn ngữ Javascript
• Cài đặt Javascript
• Bài giảng Lập trình ngôn ngữ JavaScript
• Lập trình ngôn ngữ JavaScript
• Nhúng JavaScript vào trang HTML
• Cú pháp ngôn ngữ JavaScript
• Giới thiệu về JavaScript
• Bài giảng Giới thiệu về JavaScript
• Hàm xây dựng sẵn trong JavaScript
• bài tập javascript
• tài liệu javascript
• javascript căn bản
• ngôn ngữ java
• lập trình javascript
• cơ bản javaScript
• tổng quan javaScript
• khai báo dữ liệu
• Beginning JavaScript
• JavaScript frameworks
• JavaScript and XML
• and the latest features
• guide to JavaScript builds
• Dreamweaver CS4
• Thiết kế web Dreamweaver CS4
• JavaScript objects
• JavaScript program
• Structuring JavaScript code
• JavaScript source file
• Kiểu dữ liệu
• Các toán tử trong Javascript
• Đối tượng trong Javascript
• Đối tượng document
• ác đối tượng trong javascrip
• Javascript Quick Reference
• biểu thức trong javascript
• nhập môn javascript
• biến trong javascri
• biểu diễn thông tin
• Javascript Quick
• Nhập môn JavaScript
• Nhập môn JavaScript phần 2
• Lập trình Java
• Tự học lập trình
• Lập trình hướng đối tượng
• Đối tượng trong JavaScript
• Từ khóa trong JavaScript
• Thiết kế Web
• Bài giảng Thiết kế Web
• Bài giảng JavaScript
• Chèn JavaScript vào HTML
• JavaScript trong trang Web
• Cú pháp của JavaScript
• Lập trình ứng dụng mạng
• Bài giảng Lập trình ứng dụng mạng
• Đặc điểm của Javascript
• Cấu trúc của đoạn JavaScript
• Bài giảng Lập trình viên mã nguồn mở
• Mã nguồn mở
• JavaScript cơ bản
• Tổng quan về JavaScript
• Hộp thoại cơ bản
• Sử dụng JavaScript trong trang HTML
• Ngôn ngữ lập trình JavaScript
• Bài giảng JavaScript Toán tử và câu lệnh
• Toán tử và câu lệnh
• Câu lệnh JavaScript
• Câu lệnh rẽ nhánh trong JavaScript
• căn bản javascript
• các hàm của java
• ngôn ngữ lập trình
• toán tử trong Javascript
• Chèn JavaScript
• lập trình HTML
• Secrets of the JavaScript Ninja
• JavaScript language
• CSS Selector Engine
• Cross browser code
• Function prototype JavaScript Ninja
• giáo trình lập trình
• thủ thuật lập trình
• thuật ngữ làm web
• javascript function
• Validating Forms
• DHTML
• JavaScript with Flash
• Dynamic HTML
• Web Applications with JavaScript
• các đối tượng trong javascrip
• Learning JavaScript
• 2nd Edition
• Shelley Powers
• Learn the JavaScript