01/10/2018, 14:25

Lọc fitter đầu vào cho website?

Chào mọi người , hiện em đang học lập trình web . Em biết có 1 lỗi kinh điển của web đó chính là sql injection . Cho em hỏi có tài liệu học key word nào để nghiên cứu không ạ !
ps:nếu đc mọi người cho e xin thêm tài liệu về bảo mật an toàn web khác nữa nhé !

Khoa Nguyen viết 16:27 ngày 01/10/2018

Bạn không nêu rõ là bạn đang sử dụng ngôn ngữ gì nên mình sẽ trả lời chung chung thế này.

  1. Không bao giờ nối chuỗi để tạo thành query
  2. Dùng một thư viện nổi tiếng, đã được test bảo mật kĩ càng để tạo paramterized query
Đào An viết 16:29 ngày 01/10/2018

Nếu sử dụng framework để truy vấn sql thì ko phải lo về sql injection

Tình Vô viết 16:25 ngày 01/10/2018

thật ra em cũng biết ạ , nhưng e muốn tự làm để tìm hiểu rõ hơn về bản chất của nó 1 xíu

Tình Vô viết 16:31 ngày 01/10/2018

em sử dụng php ạ , e muốn tự code tay để tìm hiểu chứ ko dùng framework !!

Nguyen Ca viết 16:35 ngày 01/10/2018

Tự làm thì tìm hiểu “escape sql string”,

Khoa Nguyen viết 16:30 ngày 01/10/2018

PHP thì tìm với từ khóa prepared statement

Vô Thin viết 16:37 ngày 01/10/2018

em sử dụng php ạ , e muốn tự code tay để tìm hiểu chứ ko dùng framework !!

PHP phiên bản gần đây người ta sử dụng PDO hoặc MySQLi để kết nối CSDL MySQL là chính, không còn hỗ trợ cách kết nối cũ nữa cho nên bạn đọc tài liệu đa số họ viết theo hướng dùng prepared statement như bạn @thangngoc89 đề cập, hãy tìm kiếm với từ khóa đó. Nếu cơ sở dữ liệu bạn sử dụng lại có hỗ trợ stored procedure này thì tận dụng nó nữa càng tốt, sẽ dự đoán được tình huống để tránh lâm vào SQL Injection. Hơn nữa, quan trọng nhất là làm rõ dữ liệu đầu vào khi được nhập từ user, phải đi qua bộ lọc cho nó tinh trước khi truyền tham số cho câu SQL query.

Hung viết 16:36 ngày 01/10/2018

Tự clone lại Prepare Statement. Mình cũng biết các bạn sinh viên thích làm từ scratch, nhưng đó là thói quen không tốt. Clone nhiều tool, khi chắc tay rồi tự sáng tạo ra cái mới.

Bài liên quan
0