• Downloading from our site will require you to have a paid membership. Upgrade to a Premium Membership from 10$ a month today!

    Dont forget read our Rules! Also anyone caught Sharing this content will be banned. By using this site you are agreeing to our rules so read them. Saying I did not know is simply not an excuse! You have been warned.

Cách chống tấn công SQL Injection

Admin

Well-Known Member
Staff member
Administrator
A- Trên ngôn ngữ asp, aspx

1. Lọc dấu nháy “’”

function filter1( input )

input = replace(input, "'", "''")

filter1 = input

end function

2. Black list

function blacklist( input )

known_bad = array( "select", "insert", "update", "delete", "drop", "--", "'" )

blacklist = true

for i = lbound( known_bad ) to ubound( known_bad )

if ( instr( 1, input, known_bad(i), vbtextcompare ) <> 0 ) then

blacklist = false

exit function

end if

next

end function

3. whitelist

function whitelist( input )

good_password_chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVW XYZ0123456789"

whitelist = true

for i = 1 to len( input )

c = mid( input, i, 1 )

if ( InStr( good_password_chars, c ) = 0 ) then

whitelist = false

exit function

end if

next

end function

B- Trên ngôn ngữ php

1. Chống bypass

Thay vì lập trình như thông thường để nhận giá trị từ form đăng nhập

if(isset($_POST['username']) && isset($_POST['passwd']) ){

$username = $_POST['username'];

$passwd = $_POST['passwd'];

Fix:
if(isset($_POST['username']) && isset($_POST['passwd']) ){

$username = addslashes($_POST['username']);

$password = addslashes($_POST['password']);

2. Dùng hàm str_ireplace

tại link lỗi được thể hiện code như sau:

$id = $_GET['id'];

if(!isset($id))

$id=1;

$sql = "SELECT * FROM products WHERE id=$id limit 0,1";

Fix:

$id = str_ireplace('union','*',$_GET['id']);

//$id = $_GET['id'];

if(!isset($id))

$id=1;

$sql = "SELECT * FROM products WHERE id=$id limit 0,1";

Lưu ý :

a. Từ khóa union trên là đơn cử, bạn có thể dùng mãng. Mãng này chứa các giá trị blacklist

b. hàm str_replace cũng tương tự như hàm str_ireplacc, nhưng ở đây tôi dung hàm str_ireplace vì có ưu điểm là không phân biệt ký tự hoa, thường.

vd:
$id = str_replace('union','*',$_GET['id']);

Câu truy vấn union select all 1,2,3,4,5,6,7-- : sẽ không vượt qua

Nhưng Câu truy vấn uNioN select all 1,2,3,4,5,6,7-- : sẽ vượt qua

với
$id = str_ireplace('union','*',$_GET['id']);
bạn an toàn

c. Nên dùng ký tự thay thế trong hàm str_ireplace

vd:
$id = str_replace('union','',$_GET['id']);

Câu truy vấn union select all 1,2,3,4,5,6,7-- : sẽ không vượt qua

Nhưng Câu truy vấn uniUNIONon select all 1,2,3,4,5,6,7-- : sẽ vượt qua

Vì thế, nên dùng
$id = str_replace('union','*',$_GET['id']);

3. Ép kiểu

Một cách khác khá an toàn là ép kiểu. Cách này không xuất thông báo lỗi, giữ cho website an toàn mà vẫn “đẹp”

$id = (int)$_GET['id'];

//$id = $_GET['id'];

if(!isset($id))

$id=1;

$sql = "SELECT * FROM products WHERE id=$id limit 0,1";
 
chỗ này:
PHP:
if(isset($_POST['username']) && isset($_POST['passwd']) ){

$username = $_POST['username'];

$passwd = $_POST['passwd'];
fix ở đâu vậy admin?
 

Facebook Comments

Similar threads
Thread starter Title Forum Replies Date
cuken [Share] Cách Phòng Chống Ddos site hiệu quả HTML & CSS 0
T 3 cách phòng chống DDOS hiệu quả All Shared Scripts 0
Admin Hướng dẫn cách chống hack pass Khác 1
Admin 3 cách phòng chống ddos cho trang web của bạn Chống local, attack, symlink, ddos 0
Yeukodamnoi Xin Vài cách chống ddos cho Host,[you] biết thì vào giúp mình với. Hỏi đáp về domain & hosting 1
C Google vào cuộc chống xâm phạm bản quyền mạng bằng cách... Thơ, báo, tạp chí 0
Admin Cách phòng chống và khắc phục trojan hiệu quả nhất Security - Local - Hacking 0
Admin Flood là gì, và cách phòng chống Security - Local - Hacking 0
Admin [Share] một cách chống Ddos hiệu quả Kiến thức lập trình 15
katy Android Có MFY MobiFone – Tết không khoảng cách, Gắn kết tình thân Điện thoại di động 12
T Cách thêm avatar vào khung ảnh cực kỳ đơn giản trên myFrame.vn Thảo luận chung 0
T Cách Thêm File robots.xtx cho web xtgem Thảo luận chung 1
katy Android Thăng hạng đặc cách cho KH MobiFone nhân dịp 30 năm thành lập Điện thoại di động 24
vinhdlp Hướng dẫn Hướng dẫn cách ứng tiền mạng Viettel đơn giản cho thuê bao Mạng internet 0
Admin Cách tạo logo Thiết kế đồ họa 0
cuongpro9x Cách đăng kí 4G free 3 tháng của viettel Trò chuyện linh tinh 0
cuongpro9x Cách mở tài khoản số đẹp VPBank miễn phí chỉ trong 5 phút trên điện thoại Trò chuyện linh tinh 0
katy Android Cách nhận quà khi giới thiệu bạn bè sử dụng app Vietlott SMS Tin tức, giới thiệu về ĐTDĐ 10
katy Android Cách thanh toán cước trả sau trên ví điện tử MobiFone Pay nhận chiết khấu 7% Thông tin các mạng di động 12
tunglamed Các cách đổi esim MobiFone và cảnh báo lừa đảo chiếm đoạt sim thông qua đổi esim Thông tin các mạng di động 0
minhquang02 Wi-Fi 6 trang bị cho laptop và cách sự hiệu quả nhất Tin tức, sự kiện thường ngày 0
V Help Cách khắc phục tài khoản bị tạm ngưng do phá vỡ hệ thống Blogger 3
tmarketingvnn Hướng dẫn Cách Tạo Tài Khoản Trên Sàn Exness Nhanh Chóng Kiến thức lập trình 0
tunglamed MobiFone tặng miễn phí 50 phút thoại cho các tỉnh giãn cách theo Chỉ thị 16 Điện thoại di động 7
lancan Chia sẻ cách tải video tiktok không có logo Thảo luận chung 0
Admin Share cách kiếm 50$ mỗi ngày Tut, tool, mmo 1
Admin Cách kiếm tiền trên Youtube - How to get money in Youtube Tut, tool, mmo 5
Admin Hướng dẫn cách tạo mail edu miễn phí - How to get edu mail for free Tut, tool, mmo 0
Admin Cách kiếm 1000$ / tháng từ Google Adsense - AdSense Major - From ZERO to $1K Monthly Tut, tool, mmo 14
Admin Hướng dẫn xóa khoảng cách các sản phẩm trên trang chủ Woocommerce Wordpress 0
Admin Hướng dẫn tự động phân cách phần nghìn khi nhập số C# giống tiền C# / C++ 0
haopro Nonstop Bay phòng 2020 Sét Nhạc Đi Cảnh AE Đừng Lại Gần Tôi Chúng Ta Cách Ly Thôi Âm nhạc 0
T Hiểu một cách Microservices là gì Tin tức CNTT 0
cuongpro9x Hướng dẫn Cách bật Microsoft Translator trên Edge Chromium Thủ thuật máy tính 0
cuongpro9x Hướng dẫn Cách chặn quảng cáo, tắt quảng cáo Youtube trên iPhone Android, iOS 1
T Một số cách học lập trình bạn hãy tham khảo Tin tức CNTT 0
T Đây là cách DeFi đột phá trong tài chính Tin tức CNTT 0
N Cách tính điểm đổi thưởng cho thuê bao không phải là Hội viên Kết nối dài lâu Thông tin các mạng di động 12
dichvumobifone Cách thay đổi ảnh bìa trên trang cá nhân và Fanpage Facebook bằng Video Blogger 1
T Game trên nền tảng Blockchain – Cuộc cách mạng của Dapp Tin tức CNTT 0
D Cách chà ron gạch - Chít keo mạch gạch Thảo luận chung 0
Admin Cách tăng RPM bền vững trong Facebook Ad Breaks Tut, tool, mmo 0
T Cách vận hành doanh nghiệp truyền thống bằng Blockchain Tin tức CNTT 0
dammechiase Hướng Dẫn Chi Tiết Cách Kiếm Tiền Từ Trang Upload Kiếm Tiền Hấp Dẫn Vipshare 2.5$/1000 lượt dowload Trò chơi 0
dammechiase Hướng dẫn Cách Kiếm Tiền Rút Gọn Link Kiếm Tiền Với ******* - 3$/1000 lượt click Uy Tín Nhất Việt Nam Trò chơi 0
D Thảo luận Cách làm cầu thang gỗ chi tiết Thảo luận SEO 0
L Share Trình làng kiểu cách mới Tủ Bếp Đẹp cổ điển lại 1 giành riêng cho nhà nhỏ Sử dụng, chia sẻ, hỏi đáp 0
N Black Friday – MobiFone bất ngờ thăng hạng đặc cách cho Hội viên Kết nối dài lâu Thông tin các mạng di động 2
L PCI chia sẻ Cách sử dụng pin và sạc laptop hợp lý, đúng cách, lâu bị chai Máy tính 0
ihuongdan Share Cách crack Camtasia 9 chỉ bằng 1 click thành công 100% cực đơn giản Phần mềm 0

Similar threads

New posts New threads New resources

Back
Top