雲端ERP資料是企業的命脈, 不容許有稍微疏忽而個資被駭, 首要之務除了撰寫語言的選擇須符合各種裝置可使用, 如桌上型電腦,平板,筆電,手機缺一不可, 作業系統目前百家爭鳴, 可跨平台使用更是重要之重, 選擇用何種語言撰寫較適合, 門檻不可太高, 資料要隨處可得, 如圥查一下全世界語言排行前10名, 再去書局走一回, 書最多肯定最流行, 再去104輸入關鍵字若企業需求超級多, 沒錯就是PHP, 一定要選一個適合自己的框架, 因為所有的系統漏洞及安全性, 框架已解決, 不用為此煩惱是否有遺漏之處, 只要專注寫PHP雲端ERP即可.
Sql Injection 目前為止應該是網路上駭客最常用的攻擊方式, 因為攻擊方式簡單, 又不需要使用任何軟體, 或自行撰寫程式. 然而SQL是資料庫所用的標準語法, 大多數的網站都會安裝資料庫, 關聯式資料庫的功能就是將資料儲存下來,然後以最快的速度找出想要的資料, 在尋找資料之前, 必須輸入資料庫 SQL指令, 輸入的指令就稱為 SQL 語法.
Sql Injection 就是指 SQL 語法上的漏洞, 藉由特殊字元改變語法上的邏輯, 駭客就能取得資料庫的所有內容,也包含了使用者的帳號, 密碼等相關資料, 所以要使用雲端ERP之前, 最基本一定要實測一個SQL登入漏洞, 使用者進入功能網站前, 都需要輸入帳號與密碼來進行驗證, 而後端程式如 PHP 就必需支援相關的登入檢查, 判定使用者輸入的帳號密碼是否正確, 確定登入是否成功.
PHP 執行的 SQL 語法,是一個簡單的 SQL 語法, 主要功能是從 Table 這個資料表中,取出符合使用者所輸入帳號與密碼的資料, select * from table where account='$name' and password='$password' 但若是駭客輸入有特殊字元的帳號[ ' or 1=1* ], 密碼[任意值」,這時SQL語法就會變成:select * from table where account='' or 1=1*' and password='' 因為「/*」在 MYSQL 語法中代表註解的意思, 所以「/*」後面的字串通通沒有執行, 而這句判斷式[1=1] 永遠成立, 駭客就能登入網站成功, 使用前最基本的測試, 若有使用PHP框架, 這些安全性已內設在裡面, 這不用自己解決.
Sql Injection攻擊很簡單, 不過防護也不難, 檢查測試要過瀘字串[ ' ]與SQL語法過瀘[ ' " ]字串, 並檢查變數型態 [數字、字元、字串], 另外資料的密碼須經過加密, 如 md5 演算法加密,這樣就能避免資料外洩時, 密碼也同時外洩,實測結果資料庫有加MD5加密功能就無入侵可能. PHP 過瀘 SQL Injection 的語法:$name = preg_replace("/[\'\"]+/" , '' ,$name); select * from table 看到的是一串亂碼, 再來就是看一下網址, 檢查有https, s代表傳輸過程皆有加密, 就不會資料於網路傳輸過程被截取, 才能安全無疑, 至於國家級的駭客高手, 是很難防止, 若能阻止百分之99駭客入侵, 機率上可說是銅牆鐵壁, 因為駭客仍然要去評估所付出的代價是否可得相對報償, 才是下手目標, 雲端ERP已是趨勢無可避免, 愈早進入愈能獲得最大優勢. 似乎已成定律.
關鍵字: 個資被駭, 雲端ERP, Sql Injection
只要塡一下你常用的E-MAIL, 寄到youhongweb@gmail.com信箱, 立刻把試用帳號密碼免費送給你, 馬上填寫,現在就幫助到你.
