မှတ်တမ်းကိုဖျက်ရန် SQL query ကို မတည်ဆောက်မီ ID တန်ဖိုးကို သန့်စင်ရန် မည်သည့် function ကိုအသုံးပြုသနည်း။
ဝဘ်ဖွံ့ဖြိုးတိုးတက်မှုနယ်ပယ်တွင်၊ အထူးသဖြင့် PHP နှင့် MySQL တွင်၊ SQL queries ကိုတည်ဆောက်သောအခါတွင်ဒေတာ၏လုံခြုံရေးနှင့်သမာဓိရှိရန်အရေးကြီးပါသည်။ ဝဘ်အက်ပလီကေးရှင်းများတွင် ဘုံအားနည်းချက်တစ်ခုမှာ SQL injection ဖြစ်ပြီး၊ တိုက်ခိုက်သူသည် အန္တရာယ်ရှိသော SQL ထုတ်ပြန်ချက်များအား လုပ်ဆောင်ရန်အတွက် ထည့်သွင်းဒေတာများကို စီမံခန့်ခွဲနိုင်သည်။ ဒီလိုမဖြစ်အောင် သန့်စင်ဖို့ လိုအပ်ပါတယ်။
- Published in ပြည်တွင်းသတင်း ဝဘ်ဖွံ့ဖြိုးရေးပါတီ, EITC/WD/PMSF PHP နှင့် MySQL အခြေခံများ, MySQL နှင့်တိုးတက်ခြင်း, မှတ်တမ်းတစ်ခုဖျက်နေသည်, စာမေးပွဲသုံးသပ်ချက်
ဒေတာဘေ့စ်သို့ဒေတာသိမ်းဆည်းသောအခါ "mysqli_real_escape_string" လုပ်ဆောင်ချက်ကိုအသုံးပြုရန် အဘယ်ကြောင့်အကြံပြုရသနည်း။
PHP နှင့် MySQL ကို အသုံးပြု၍ ဝဘ်ဖွံ့ဖြိုးတိုးတက်မှုတွင် ဒေတာဘေ့စ်တစ်ခုသို့ ဒေတာသိမ်းဆည်းခြင်းနှင့်ပတ်သက်လာလျှင် "mysqli_real_escape_string" လုပ်ဆောင်ချက်ကို အသုံးပြုရန် အထူးအကြံပြုလိုပါသည်။ ဤလုပ်ဆောင်ချက်သည် SQL ဆေးထိုးတိုက်ခိုက်မှုများကို ကာကွယ်ရန်နှင့် ဒေတာဘေ့စ်၏ လုံခြုံရေးနှင့် ခိုင်မာမှုကို သေချာစေရန်အတွက် အရေးကြီးသောအခန်းကဏ္ဍမှ ပါဝင်ပါသည်။ SQL injection သည် အသုံးများသော တိုက်ခိုက်မှု အမျိုးအစား တစ်ခု ဖြစ်သည်။
- Published in ပြည်တွင်းသတင်း ဝဘ်ဖွံ့ဖြိုးရေးပါတီ, EITC/WD/PMSF PHP နှင့် MySQL အခြေခံများ, MySQL နှင့်တိုးတက်ခြင်း, ဒေတာဘေ့စ်သို့ဒေတာသိမ်းဆည်းခြင်း, စာမေးပွဲသုံးသပ်ချက်
ဘရောက်ဆာတွင် မပြသမီ အသုံးပြုသူထည့်သွင်းထားသောဒေတာကို သန့်စင်ရန် အဘယ်ကြောင့်အရေးကြီးသနည်း။
အထူးသဖြင့် PHP နှင့် MySQL တွင် ဝဘ်ဖွံ့ဖြိုးတိုးတက်မှုအခြေအနေတွင် browser တွင် ၎င်းကိုမပြသမီ သုံးစွဲသူမှထည့်သွင်းထားသောဒေတာကို သန့်စင်ရန် အရေးကြီးဆုံးဖြစ်သည်။ Sanitizing data သည် ၎င်း၏ဘေးကင်းမှုနှင့် သမာဓိရှိမှုသေချာစေရန် အသုံးပြုသူထည့်သွင်းမှုကို အတည်ပြုခြင်းနှင့် သန့်ရှင်းရေးလုပ်ခြင်းလုပ်ငန်းစဉ်ကို ရည်ညွှန်းသည်။ အသုံးပြုသူထည့်သွင်းထားသောဒေတာကို သန့်စင်ရန်ပျက်ကွက်ပါက လုံခြုံရေးဆိုင်ရာ အားနည်းချက်အမျိုးမျိုးကို ဖြစ်ပေါ်စေနိုင်သည်။
- Published in ပြည်တွင်းသတင်း ဝဘ်ဖွံ့ဖြိုးရေးပါတီ, EITC/WD/PMSF PHP နှင့် MySQL အခြေခံများ, PHP တွင်ကိုင်တွယ်သောအမှားအယွင်းများ, အမှားများကိုပြသခြင်း, စာမေးပွဲသုံးသပ်ချက်
Apache2 ဖြင့် ModSecurity ကို ထည့်သွင်းရန်နှင့် ပြင်ဆင်သတ်မှတ်ရန် အဆင့်များကား အဘယ်နည်း။
Apache2 ဖြင့် ModSecurity ကို ထည့်သွင်းပြီး ပြင်ဆင်သတ်မှတ်ရန်၊ လုံခြုံပြီး ထိရောက်မှုရှိသော စနစ်ထည့်သွင်းမှုကို သေချာစေရန် အဆင့်များစွာကို လိုက်နာရန် လိုအပ်သည်။ ModSecurity သည် ဝဘ်အပလီကေးရှင်းများကို SQL ထိုးခြင်း၊ ဆိုက်စခရစ်တင်ခြင်း (XSS) နှင့် အဝေးထိန်းဖိုင်ပါ၀င်ခြင်းကဲ့သို့သော အမျိုးမျိုးသောတိုက်ခိုက်မှုများမှ ကာကွယ်ရန် ကူညီပေးသည့် open-source web application firewall (WAF) ဖြစ်သည်။ ဤတွင် ထည့်သွင်းရန် အဆင့်များဖြစ်သည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, ModSecurity ပါ, Apache2 ModSecurity, စာမေးပွဲသုံးသပ်ချက်
ModSecurity ဆိုတာ ဘာလဲ၊ Apache ဝဘ်ဆာဗာတွေရဲ့ လုံခြုံရေးကို ဘယ်လို မြှင့်တင်မလဲ။
ModSecurity၊ ဝဘ်အက်ပလီကေးရှင်း firewall module တစ်ခုသည် Apache ဝဘ်ဆာဗာများ၏လုံခြုံရေးကိုမြှင့်တင်ရန်ဒီဇိုင်းပြုလုပ်ထားသည်။ ၎င်းသည် SQL ထိုးနှံမှု၊ cross-site scripting (XSS)၊ အဝေးထိန်းဖိုင်ပါဝင်မှု၊ နှင့် ဖြန့်ဝေမှုငြင်းဆိုခြင်း (DDoS) တိုက်ခိုက်မှုများအပါအဝင် အမျိုးမျိုးသောတိုက်ခိုက်မှုများကို ခုခံကာကွယ်သည့် ယန္တရားတစ်ခုအနေဖြင့် လုပ်ဆောင်သည်။ ModSecurity ကို Apache ဝဘ်ဆာဗာများ၊ အဖွဲ့အစည်းများနှင့် ပေါင်းစပ်ခြင်းဖြင့်
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, ModSecurity ပါ, Apache2 ModSecurity, စာမေးပွဲသုံးသပ်ချက်
PHP ကုဒ်ထိုးခြင်းတိုက်ခိုက်မှုအန္တရာယ်ကို လျော့ပါးသက်သာစေရန် ဝဘ် developer များ အသုံးပြုနိုင်သည့် နည်းပညာအချို့ကား အဘယ်နည်း။
Web developer များသည် PHP ကုဒ်ထိုးခြင်းတိုက်ခိုက်မှုအန္တရာယ်ကို လျော့ပါးသက်သာစေရန် နည်းလမ်းအမျိုးမျိုးကို အသုံးပြုနိုင်သည်။ တိုက်ခိုက်သူသည် အန္တရာယ်ရှိသော PHP ကုဒ်ကို ဆာဗာမှ လုပ်ဆောင်ပြီးနောက် အားနည်းချက်ရှိသော ဝဘ်အက်ပလီကေးရှင်းတစ်ခုထဲသို့ ထိုးသွင်းနိုင်သောအခါတွင် အဆိုပါတိုက်ခိုက်မှုများ ဖြစ်ပွားပါသည်။ ဤတိုက်ခိုက်မှုများ၏ အရင်းခံအကြောင်းတရားများကို နားလည်ပြီး သင့်လျော်သော လုံခြုံရေးအစီအမံများကို အကောင်အထည်ဖော်ခြင်းဖြင့် developer များ လုပ်ဆောင်နိုင်သည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, ဝဘ်ဆိုက်တိုက်ခိုက်ခြင်းအလေ့အကျင့်, PHP ကုဒ်ထိုးခြင်း။, စာမေးပွဲသုံးသပ်ချက်
ဝဘ်အက်ပလီကေးရှင်းများတွင် SQL ထိုးသွင်းခြင်းကဲ့သို့သော အားနည်းချက်များကို ကိုင်တွယ်ဖြေရှင်းရန် ဆော့ဖ်ဝဲအင်ဂျင်နီယာများနှင့် အဖွဲ့အစည်းများအတွက် အဘယ်ကြောင့် အရေးကြီးသနည်း။
ဝဘ်အက်ပလီကေးရှင်းများတွင် SQL ထိုးဖောက်ခြင်းကဲ့သို့သော အားနည်းချက်များကို စစ်ဆေးခြင်းနှင့် ဆိုက်ဘာလုံခြုံရေးနယ်ပယ်ရှိ developer များနှင့် အဖွဲ့အစည်းများအတွက် အရေးကြီးပါသည်။ ဤအလေ့အကျင့်သည် ဖြစ်နိုင်ချေရှိသော လုံခြုံရေးအန္တရာယ်များကို ခွဲခြားသတ်မှတ်ရန်နှင့် လျော့ပါးသက်သာစေရန်၊ အရေးကြီးသောဒေတာများကို ကာကွယ်ရန်နှင့် ဝဘ်အက်ပ်လီကေးရှင်းများ၏ သမာဓိနှင့်ရရှိနိုင်မှုကို ထိန်းသိမ်းထားရန် မရှိမဖြစ်လိုအပ်ပါသည်။ ဤအခြေအနေတွင် OWASP ဖျော်ရည်ဆိုင်တစ်ခုဖြစ်သည့်၊
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, ဝဘ်ဆိုက်တိုက်ခိုက်ခြင်းအလေ့အကျင့်, OWASP ဖျော်ရည်ဆိုင် - SQL ထိုးဆေး, စာမေးပွဲသုံးသပ်ချက်
OWASP Juice Shop ၏အကြောင်းအရာတွင် SQL Injection ကိုအသုံးပြု၍ အထောက်အထားစိစစ်ခြင်းကို ကျော်ဖြတ်ခြင်းလုပ်ငန်းစဉ်ကို ရှင်းပြပါ။
ဝဘ်အက်ပလီကေးရှင်းလုံခြုံရေးနယ်ပယ်တွင် အပျံ့နှံ့ဆုံးနှင့် အန္တရာယ်အရှိဆုံး အားနည်းချက်တစ်ခုမှာ SQL injection ဖြစ်သည်။ ဤနည်းပညာသည် တိုက်ခိုက်သူများအား အထောက်အထားစိစစ်ခြင်း ယန္တရားများကို ကျော်လွှားနိုင်ပြီး ဝဘ်အပလီကေးရှင်း၏ ဒေတာဘေ့စ်သို့ ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခွင့်ရရှိစေပါသည်။ ဤအခြေအနေတွင်၊ OWASP ဖျော်ရည်ဆိုင်ရှိ SQL ထိုးဆေးကို အသုံးပြု၍ စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းကို ကျော်လွှားခြင်းလုပ်ငန်းစဉ်ကို ကျွန်ုပ်တို့စူးစမ်းပါမည်။ OWASP
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, ဝဘ်ဆိုက်တိုက်ခိုက်ခြင်းအလေ့အကျင့်, OWASP ဖျော်ရည်ဆိုင် - SQL ထိုးဆေး, စာမေးပွဲသုံးသပ်ချက်
ဝဘ်အပလီကေးရှင်း၏ဒေတာဘေ့စ်သို့ ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခွင့်ရရှိရန် SQL ထိုးခြင်းကို မည်သို့အသုံးပြုရမည်နည်း။
SQL Injection သည် ဝဘ်အပလီကေးရှင်း၏ ဒေတာဘေ့စ်သို့ ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခွင့်ရရှိစေရန် အသုံးချနိုင်သည့် လူသိများပြီး ပျံ့နှံ့နေသော ဝဘ်အက်ပလီကေးရှင်း အားနည်းချက်တစ်ခုဖြစ်သည်။ တိုက်ခိုက်သူသည် အန္တရာယ်ရှိသော SQL ထုတ်ပြန်ချက်များအား အားနည်းချက်ရှိသော အပလီကေးရှင်း၏ ဒေတာဘေ့စ်မေးမြန်းချက်ထဲသို့ ထည့်သွင်းနိုင်သောအခါတွင် ဖြစ်ပေါ်သည်။ ထိုသို့ပြုလုပ်ခြင်းဖြင့်၊ တိုက်ခိုက်သူသည် အပလီကေးရှင်း၏ အပြုအမူကို စီမံခန့်ခွဲနိုင်ပြီး ဖြစ်နိုင်ချေရှိသည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, ဝဘ်ဆိုက်တိုက်ခိုက်ခြင်းအလေ့အကျင့်, OWASP ဖျော်ရည်ဆိုင် - SQL ထိုးဆေး, စာမေးပွဲသုံးသပ်ချက်
ဝဘ်အက်ပလီကေးရှင်းထိုးဖောက်ခြင်းစမ်းသပ်ခြင်း၏အကြောင်းအရာတွင် OWASP ဖျော်ရည်ဆိုင်၏ရည်ရွယ်ချက်ကဘာလဲ။
ဝဘ်အက်ပလီကေးရှင်းထိုးဖောက်ခြင်းစမ်းသပ်ခြင်း၏အခြေအနေတွင် OWASP Juice Shop ၏ရည်ရွယ်ချက်မှာ ဝဘ်အက်ပလီကေးရှင်း၏ထိုးဖောက်ဝင်ရောက်မှုစမ်းသပ်ခြင်း၏ရည်ရွယ်ချက်မှာ လေ့ကျင့်သူများအနေဖြင့် ဝဘ်အက်ပလီကေးရှင်းအားနည်းချက်များကို ရှာဖွေဖော်ထုတ်အသုံးချခြင်းတွင် ၎င်းတို့၏ကျွမ်းကျင်မှုများကို မြှင့်တင်ရန်နှင့် လက်တွေ့ဆန်သော အပြန်အလှန်အကျိုးပြုသောပတ်ဝန်းကျင်ကို ပံ့ပိုးပေးရန်ဖြစ်သည်။ OWASP Juice Shop သည် Open Web Application မှ ဖန်တီးထားသော ရည်ရွယ်ချက်ရှိရှိ အားနည်းချက်ရှိသော ဝဘ်အက်ပလီကေးရှင်းတစ်ခုဖြစ်သည်။
- Published in ပြည်တွင်းသတင်း ဆိုက်ဘာလုံခြုံရေး, EITC/IS/WAPT ဝဘ်အက်ပလီကေးရှင်းများ ထိုးဖောက်စမ်းသပ်ခြင်း။, ဝဘ်ဆိုက်တိုက်ခိုက်ခြင်းအလေ့အကျင့်, OWASP ဖျော်ရည်ဆိုင် - SQL ထိုးဆေး, စာမေးပွဲသုံးသပ်ချက်