[Security for Website PHP - Mysql] Bài 1: Module chống SQL Injection

luongtankhang123

W-------
02/07/2013
14
47 bài viết
[Security for Website PHP - Mysql] Bài 1: Module chống SQL Injection
Xin chào mọi người,
Hôm nay mình sẽ bắt đầu chuỗi bài viết nói về việc bảo mật cho website chạy dưới nền tảng PHP và Mysql.
Đây là những kinh nghiệm mình đúc kết được từ sau nhiều lần bị hack và nhiều lần hack được người ta :)))
------------------------------------------
Bài 1: Module Chống SQL Injection

SQL Injection được xem là một trong những lỗi cơ bản nhất khi lập trình mà rất nhiều website hiện nay đang bị.
Để hiểu hơn về SQL Injection các bạn có thể tha khảo bài viết này
https://whitehat.vn/forum/thao...3user-input%94

I. Giới thiệu code

PHP:

Giải thích:
Ở đây đơn giản mình sẽ lấy tất cả các giá trị GET, POST được client gửi lên, sau đó sẽ dùng 2 hàm
mysql_real_escape_string: hàm này dùng để kiểm tra dữ liệu của người dùng đưa vào có thật sự "bình thường" không
addslashes: hàm này dùng để thêm dấu \ trước các kí tự như ', " . Khi client nhập vào 'dayladulieu thì nó sẽ tự động chuyển sang \'dayladulieu. Lúc đó kí tự ' sẽ bị bất hoạt
Các bạn có thể áp dụng code này để chống bypass đăng nhập admin
Một kỹ thuật khác chống bypass admin được mình giới thiệu ở đây
https://whitehat.vn/forum/thao...on-bang-base64

II. Cài đặt module

Đầu tiên chúng ta tạo 1 file AntiSQLi.php ở thư mục root của trang web



Sau đó chúng ta sẽ chèn đoạn code này vào file kết nối đến CSDL
PHP:
require_once("AntiSQLi.php");
1489939947guide_1.png



Vậy là đã hoàn thành!

III. Đối với các website phát triển trên nền tảng mã nguồn mở Joomla, Wordpress,...

Đối với loại này các bạn cũng làm tương tự, đây là danh sách path cho các bạn chưa biết
- Vbulletin:
path/includes/config.php
- Mybb:
path/inc/config.php
- Joomla:
path/configuration.php
- Word-Press:
path/wp-config.php
- Ibp:
path/conf_global.php
- Php-fusion:
path/config.php
- Smf:
Path/Settings.php
- Nuke:
path/config.php
- Xoops:
path/mainfile.php
- Zen Cart
Path/includes/configure.php

- path/setidio:
path/datas/config.php
- Datalife Engine:
path/engine/data/config.php
- Phpbb:
Path/config.php
- Wordpress:
path/wp-config.php
- Seditio:
path/datas/config.php
- Drupal:
path/sites/default/settings.php

- Discuz
path/config/config_ucenter.php
- Bo-Blog
path/data/config.php


Mong mọi người góp ý phát triển!
[h=2][Security for Website PHP - Mysql] Bài 2: Module chống XSS[/h]
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Up
Do hồi nãy có tí sai sót
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên