Nội dung Bảo mật với PHP & Mysql Phần 2
Như ta thường biết , để đưa bất cứ dữ liệu từ người sử dụng vào CSDL ta đều thông qua dạng truyền biến form HTML , gồm nhiều dạng và nhiều cách khác nhau .

Như ta thường biết , để đưa bất cứ dữ liệu từ người sử dụng vào CSDL ta đều thông qua dạng truyền biến form HTML , gồm nhiều dạng và nhiều cách khác nhau .

Vì thế lỗi cũng rất nhiều nếu ta không kịp ngăn chặn , có thể dẫn đến những hậu quả khó lường.
Dù truyền biến dạng POST , GET thì lỗi vẫn có . Và lỗi nghiêm trọng là dùng các biến ẩn để so sánh hoặc thực thi một mệnh đề logic nào đó .

Ví dụ bạn làm 1 biến ẩn như password , email ... thì kẻ tấn công có thể view source của bạn , thay đổi các trường và thay đổi luôn action . Vì thế nếu lỗi thì kẻ tấn công có thể tấn công trực tiếp từ những lỗi này với vài thủ thuật nêu trên .

Cách khắc phục : Không đặt những biến ẩn với mục đích so sánh hay thực thi mệnh đề logic .
Nếu bạn lập trình đưa trực tiếp các biến vào thẳng CSDL mà không thông qua một bước kiểm tra nào đó thì nguy hiểm .

Các nguy hiểm có thể xảy ra :
- Cross site scripting
- SQL injection
- Buffer overflow in Mysql

Vì vậy bước kiểm tra các biến vào hết sức quan trọng .

Cách khắc phục :

- Cross site scripting : Để khắc phục lỗi này , bạn nên xử lý biến vào theo kiểu chặn các tag HTML các hàm PHP hổ trợ làm việc đó : str_replace , strip_tags , htmlspecialchars , htmlentities ... ( tham khảo thêm về các hàm sử lý chuỗi ) để xử lý các tag như < > chuyển sang mã HTML hay thêm ký tự nào vào , .... , thay thế các text như onmouseover , onload ...
- SQL injection : các biến đưa vào thường nguy hiểm nếu ``dính`` dấu ` , ```` hoặc # , vì thế cách khắc phục cũng như trên hoặc thêm hàm addslashes .
- Buffer overflow in Mysql : cái này thường nghiêm trọng , khi bạn đưa biến vào CSDL mà không chống flood thì kẻ tấn công cò thể fresh trình duyệt web hoặc dùng những script tấn côngf từ server , host hay localhost khác , làm tràn server . Khiến tắt nghẽn ... và server có thể cắt host bạn như chơi .

Cách khắc phục , so sánh biến nhập vào trùng hay thơi gian ... nói chung có nhiều cách để làm việc này , hiệu quả và nhanh thì dùng hàm header sau khi submit . ( Nếu bạn lập trình dùng hàm mysql_fetch_array , cũng dễ bị tràn server , lý do gôm dữ liệu vào mảng nếu nhiều record thì thế nào ... vì thế bạn có thể chuyển qua dùng mysql_result , nó lấy dữ liệu theo filed và column )

Lưu ý về dạng upload file : cái này cũng quan trọng không kém , vì thế bạn phải kiểm tra dạng file gì khi được upload vì không sẽ có thể làm host của bạn dính backdoor .


NHÀ CUNG CẤP DỊCH VỤ CHUYÊN NGHIỆP
PHÁT TRIỂN
WEBDESIGN - HOSTING - DOMAIN

0 comments :

Post a Comment

DỊCH VỤ

Liên hệ nhanh

DANH MỤC CHÍNH

Xã hội Thời sự kinh doanh Đời sống Công nghệ Quốc tế Website Cảm nang việc làm Thiên tai Phần mềm Sức khoẻ Lối sống Siêu bão Lễ hội Văn hoá Kiến thức Giáo dục 20/10 Doanh nghiệp Tình yêu - Giới tính Lễ Phật Đản Thủ thuật Giao thông Pháp luật Công dụng của đầu dừa Chuyện lạ Giải trí Thiết kế web Sản phẩm mới Y tế Công dụng Kinh tế Bảo mật Khuyến mãi - Giảm giá Võ Nguyên Giáp Ô tô 20/11 Giới tính Mưa lũ Ngày Nhà giáo Việt Nam Xe máy hosting Khoa học Sinh viên Blogger Du lịch Dịch vụ Người mẫu Seo web Facebook Hướng dẫn sử dụng Làm đẹp Thị trường Bất động sản Hack Hướng dẫn làm dầu dừa Khám phá Ngày của Mẹ Thời trang Video Dinh dưỡng Dầu dừa nguyên chất Kinh nghiệm Ngày Phụ nữ Việt Nam NukeViet Triều cường máy chủ Chăm sóc tóc Dân chơi Google Khuyến mãi Kinh nghiệp Lễ Vu Lan Tên miền Viễn Thông Hướng dẫn Kỹ năng bán hàng Nhân vật SEO Windows WordPress Themes Điện thoại Backlink CSS3 Cây lược vàng Dịch vụ vệ sinh HTML5 Hoa hau Hội thảo Mẹ và bé Mã màu Mỹ phẩm từ dầu dừa Themes Thể thao WordPress hà thủ ô Dầu dừa trắng da Giảm cân với dầu dừa Hoa hậu Hà Nội Hướng dẫn nâng cấp Khắc phục lỗi Mua dầu dừa ở đâu Nứt gót chân Template Thông tin về dầu dừa Tin tức Trị mụn trứng cá Tuyển dụng - Việc làm

Thống kê

Translate

Quan tâm nhiều

Theo thời gian

Contact Form

Name

Email *

Message *