แนะนำการแต่ง Security ป้องกัน SQL Injection และพวก Command Execution ต่างๆ บน windows

บทความนี้สำหรับ คนใช้ Appserv หรือ Xampp บน Windows ที่เปิดเกมออนไลน์ที่ใช้ MSSQL นะค่ะ

และอาจจะทำให้สคริปบางตัว ใช้ไม่ได้ เช่น เว็บบอร์ด และ phpMyAdmin แต่พวกส่วนของการสมัคร และอื่นๆไม่มีปัญหาค่ะ

1 สำหรับผู้ใช้ Appserv ให้เปิดไฟล์ C:\Windows\php.ini สำหรับผู้ใช้ Xampp ให้เปิดไฟล์ C:\Xampp\bin\php\php.ini (หากไม่มีให้ลองดูที่ C:\Xampp\bin\apache\php.ini)

2 แก้ไขค่าต่างๆดังนี้

safe_mode = On

open_basedir = "แฟ้มที่เก็บเว็บไซต์" เช่น open_basedir = "C:\Appserv\www\" หรือ open_basedir = "C:\xampp\htdocs\" พร้อมเอาตัว semi-colon ( ; ) ข้างหน้าออก ถ้ามี

disable_functions = ini_restore,eval,readfile,copy,unlink,mkdir,rmdir,rename,touch,tempnam,symlink, link,proc_open,highlight_file,show_source,fopen,readdir,ini_alter,ini_restore, openlog,error_log,passthru,shell_exec,exec,system,popen,putenv, move_uploaded_file,chdir,dl,chgrp,chown,chmod,set_time_limit

display_errors = Off

register_globals = Off

magic_quotes_gpc = On

magic_quotes_sybase = On

auto_prepend_file = "แฟ้มที่เก็บเว็บไซต์\safe.php" เช่น auto_prepend_file = "C:\Appserv\www\safe.php" หรือ auto_prepend_file = "C:\Xampp\htdocs\safe.php"

file_uploads = Off

allow_url_fopen = Off

จากนั้น Search คำว่า extension=php_curl.dll ให้เอาตัว semi-colon ( ; ) ข้างหน้าออก ถ้ามี

3 ดาวน์โหลดไฟล์ safe.php ที่ http://www.mediafire.com/download.php?temmootdmh2

แล้วเอาไปวางไว้ที่ auto_prepend_file ที่ตั้งไว้ในข้อ 2 เช่น C:\Appserv\www\safe.php หรือ C:\Xampp\htdocs\safe.php

4 Restart Apache ใหม่ โดยไปที่ Control Panel -> Administrative Tools -> Services มองหา Apache คลิ๊กขวาเลือก Restart

หรือถ้าไม่ชัวร์ก็ Restart เครื่องไปเลย  

แนะนำ  Xampp ไม่ควรที่จะใช้งานน่ะค่ะเริ่มมีบัค ทำให้สามารถ สร้าง use admin remote เข้า Server ได้ จ่ะอิอิ หันมาใช้ iis หรือ appserv ดีกว่าน่ะค่ะ 

Windows มักจะ run กับ administrator เสมอ ควรระวัง น่ะจ่ะ สิทธิต่างๆๆ ต่างจาก linux มาก น่ะ