ทดสอบเจาะระบบแบบ SQL injection ด้วยวิธี Union Base
ตอนรับวาเลนไทน์ 2015 ด้วยการแปะคลิปวิธีการแฮกเว็บด้วย SQL injection (เข้ากันซะไม่มี) จริงๆอยากทำคลิปอธิบายเอง แต่เห็นมีคนทำไว้แล้ว อธิบายเข้าใจง่ายดี เลยขอยืมมาหน่อย en.wikipedia.org/wiki/SQL_injection SQL injection คืออะไร มันก็คือการเจาะระบบอย่างหนึ่ง โดยใช้ SQL หรือภาษาที่ใช้ติดต่อกับฐานข้อมูล ในการโจมตี ดังนั้นถ้าเว็บคุณไม่มีการติดต่อกับฐานข้อมูลก็ไม่ต้องกังวลอะไร แต่แน่นอนเว็บสมัยนี้มีทั้งนั้นแหละ ไม่ว่าจะเป็นการเก็บข้อมูลสมาชิก ข้อมูลสินค้า และอื่นๆ แฮกเกอร์จะใช้ช่องโหว่ในการ Query String ผ่านช่องทางการรับข้อมูลต่างๆ เพื่อให้ได้ข้อมูลใน Database นอกจากนี้ยังสามารถ แก้ไข, เพิ่ม หรือ ลบข้อมูลได้อีกด้วย นี่แหละครับ SQL injection น่ากลัวไหม?? สำหรับรายละเอียด วิธีการ แอดมินคงไม่อธิบาย เพราะน่าจะหาอ่านกันเองได้ ขอบอกมีเยอะมาก มีหลายวิธีด้วย ซึ่งวันนี้ ก็จะแนะนำวิธีที่เรียกว่า Union Base เป็นอย่างไร ดูตามคลิปด้านล่าง วิธีการป้องกัน SQL injection พยายามกรองอินพุตที่รับมาจาก User ทั้งทาง From และ URL เพื่อไม่ไปรบกวนกับการทำงานของการ Query เช่น กรอง