วันนี้มีคำถามเกี่ยวกับระบบการป้องกันครับ

ตอบกระทู้

รูปแสดงอารมณ์
:icon_plusone: :like: :plusone: :gfb: :-D :) :( :-o 8O :? 8) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen: :angry: :baa: :biggrin:
รูปแสดงอารมณ์อื่นๆ

BBCode เปิด
[img] เปิด
[url] เปิด
[Smile icon] เปิด

กระทู้แนะนำ
   

มุมมองที่ขยายได้ กระทู้แนะนำ: วันนี้มีคำถามเกี่ยวกับระบบการป้องกันครับ

โดย mindphp » 15/05/2008 12:39 am

ยินดีด้วยครับ
ทางแก้ ปัญหา คน ปั่น Javascript ลงใน form ทำได้ สอง แบบ ครับ แบบ แรก คือ
การ fielter ข้อมูล ที่ input เข้ามา
อย่างที่ สอง คือ fielter ข้อมูลที่จะเอาออกไปแสดงผล
ยกตัวอย่างเว็บ บอร์ด SMF จะใช้ ทั้ง สอง วิธี
จะใช้ วิธี กรอง ข้อมูล ก่อนที่จะเก็บ ลง ฐาน
// Removes special entities from strings. Compatibility...
function un_htmlspecialchars($string)
{
return strtr($string, array_flip(get_html_translation_table(HTML_SPECIALCHARS, ENT_QUOTES)) + array(''' => '\'', ' ' => ' '));
}

หรือ โดยส่วนตัวผล ถ้ามีปัญหา กับการแสดง ผล ก็จะใช้
htmlspecialchars()
เพื่องแปลง tag ที่มีผลกระทบกับ browser เป็น เครื่องหมาย พิเศษ ก็ไม่ต้องกังวลเรื่องการ ถูกยัด Javascript เข้ามาใน form

ยกตัวอย่าง $var
ธรรมดา echo $var
ก็ใช้ echo htmlspecialchars($var) แทน

โดย oxygenyoyo » 15/05/2008 12:10 am

ได้แหละครับ ผมแก้ไขได้แล้ว

โดยการใช้ฟังก์ัชั่น str_replace ตัดคำครับ

โดย oxygenyoyo » 14/05/2008 9:26 pm

แล้วถ้าเค้าเขียนโค้ดจากตรง testarea อ่ะครับผมจะแก้ไขอย่างไรครับ


ผมไปตรวจดูแล้วปรากฎว่าเค้าเขียนโพสความคิดเห็นเป็นโค้ดอ่ะครับจึงทำให้มันรันสคริปที่ เขาได้ทำการเขียนไว้อ่ะครับ


ไม่ทราบว่ามีทางแก้ไขอย่างไรไหมครับ

โดย mindphp » 14/05/2008 9:03 pm

ถ้า server เป็น UNIX chmod เป็น 644 สำหรับ ไฟล์ จะดีที่สุด

โดย oxygenyoyo » 14/05/2008 8:18 pm

ใช่ครับ เหมือนว่าเค้ารู้อ่ะครับหรือว่าเค้าไปเช็คตัว connect จากโค้ดอ่ะครับ

โดย mindphp » 14/05/2008 8:16 pm

หมาย ถึง Upload ขึ้น server แล้วมีคนมา แก้ไขไฟล์ หรือครับ

วันนี้มีคำถามเกี่ยวกับระบบการป้องกันครับ

โดย oxygenyoyo » 14/05/2008 7:50 pm

คือผมทำเว็บเสร็จเรียบร้อยแล้ว

แต่ถูกรุ่นน้อง << ผมคิดว่าเป็นรุ่นน้องอ่ะครับ

มาแก้ไขใส่ script ให้มัน alert เตือน

ข้อความว่า "ป้องกันการแก้ไขโค้ดด้วยครับ" แล้วสั่งให้วน 5000 ครั้ง -*-


ผมอยากทราบว่าเค้ามาแก้ไขได้อย่างไรครับเช็คดูจากโค้ดแล้วไปไล่ดูไฟล์หรอครับ ?


เราจะมีวิธีป้องกันอย่างไรครับ ?


ขอบคุณที่ตอบคำตอบนะครับผม

ข้างบน