MYSQL_ESCAPE_STRING LÀ GÌ

     
Trong bài viết này, công ty chúng tôi sẽ nói đến các cuộc tấn công hoàn toàn có thể xảy ra với những ứng dụng web và cách để giúp chúng ta cũng có thể lập trình web an toàn.

Bạn đang xem: Mysql_escape_string là gì

Bạn vẫn xem: Mysql_real_escape_string là gì

1) thiết kế web bình yên để phòng phòng lỗ hổng SQL Injection

SQL Injection là lỗ hổng phổ biến nhất trong ứng dụng web. Trên thực cố việc ngăn ngừa SQL Injection không còn khó. Lỗ hổng SQL Injection xảy ra khi một ứng dụng web không chất vấn các thông số kỹ thuật nhận được từ bỏ trình chăm chú và trực tiếp thực hiện chúng trong sever cơ sở dữ liệu. Vị vậy hãy kiểm tra thật kỹ các thông số, bạn sẽ có thể ngăn chặn toàn bộ các một số loại SQL Injection.Cách thức thiết kế web an toàn: Bạn rất có thể sử dụng hàm mysql_real_escape_string cùng nó sẽ chặn hầu như các cuộc tấn công SQL Injection, nhưng lại hãy tưởng tượng rằng:
*

*

2) quản lý việc Upload File

Khi bạn sử dụng một công tác File Uploader, nếu như không cai quản và kiểm soát điều hành tốt các bạn sẽ tạo các cửa trên sever tiếp cận các tệp tin từ bên ngoài. Bạn cần phải có những phương án phòng dự phòng tin tặc. Nếu gồm thể, hãy mã hóa tên file cùng không bao giờ cất tên file cội trên ổ cứng của dòng sản phẩm chủ. Ví dụ, nếu bạn tải lên file Test.jpg, hãy chế tác tên như sau:

$mNow = date("Y-m-d H:i:s"); $mOrigName = $OriginalFileName; $NewName = md5($mNow + " --- " + $mOrigName;Giờ thì lưu trữ tên file trong cơ sở dữ liệu và lưu lại file kia vào ổ đĩa với tên new được chế tạo và không tồn tại phần không ngừng mở rộng hay phần nhiều phần mở rộng trung gian như .tmp hay .usrfile…Không bao giờ hiển thị băng thông nơi bạn tàng trữ những file được tải lên. Lấy một ví dụ không giữ hộ thông báo “Thank you for uploading your file, you can see your tệp tin here yourwebsite.com/uploadedfiles/Test.jpg”.Lưu trữ các tệp tin vào một thư mục có tên ngẫu nhiên vậy vì mang tên như Upload, Uploads, UserFiles, UserUploads… chỉ cần tạo ra chuỗi 10 kí tự ngẫu nhiên như qS2lVDOL6o.Không bao giờ cho phép thực thi các tập tin như .php, .asp, .jsp trên thư mục mua lên, chúng ta có thể cấu hình bằng cách sử dụng .htaccess  trong Apache tốt cấu hình trong IIS.Ngoài ra, bạn cũng có thể đơn giản là lưu lại trữ các file này vào cơ sở dữ liệu dạng binary.

Xem thêm: Once And For All Nghĩa Là Gì, Từ Điển Anh Việt Once And For All

3) tiến công Local hoặc Remote tệp tin Inclusion

PHP khá dễ dàng bị tấn công trước kiểu tấn công này nhất. Nó xảy ra khi một quãng code nỗ lực include một trang khác thực hiện tham số là thay đổi được rước vào từ fan dùng. Ví dụ:NewsId = $_POST; include $NewsID; hoặc require_once($NewsID);Điều này thực sự khôn xiết nguy hiểm. Thậm chí còn tin tặc có thể thực thi mã lệnh trên chính máy chủ của bạn bằng cách tạo những mã PHP code vào tệp tin apache log và kế tiếp lợi dụng nhược điểm của lỗ hổng file Inclusion để đọc những đoạn mã này từ tệp tin log. Bởi vì vậy, để lập trình web bình an bạn đề nghị tránh xa bài toán sử dụng các hàm include, require với tài liệu đầu vào đụng và được biến hóa bởi tín đồ dùng. Với từng file, bao gồm một showroom và ID riêng trên đại lý dữ liệu, hãy tạo đường truyền như sau: downloadfile.php?ID=49 và trong code của công ty truy vấn cơ sở dữ liệu với thương hiệu file gồm ID=49, phát âm nó cùng xử lý. Nếu giải pháp xử lý file trực tiếp, bạn cũng có thể kiểm tra sự tồn tại rất nhiều kí từ như “..” “/” “http” “ftp” “https” … Nhưng phương thức này không đích thực tốt.

Xem thêm: Giải Bài 32 Sgk Toán 9 Tập 1 Trang 19 Sgk Toán 9 Tập 1, Bài 32 Trang 19 Sgk Toán 9 Tập 1

4) Lỗ hổng XSS

Để ngăn ngừa và xây dựng web an ninh với XSS vào PHP sử dụng:$UserParam = strip_tags($UserParam);ASP.NET:UserParam = Microsoft.Security.Application.Sanitizer.GetSafeHtmlFragment(UserParam);Những điều được giải tích bên trên là hầu hết khái niệm cơ bạn dạng nhất về xây dựng web an toàn, nhưng lại nếu làm giỏi điều này bạn cũng có thể ngăn ngăn được đa số các cuộc tiến công vào áp dụng web.