Archive

Archive for December 29, 2008

Web Controls Focus ว่าด้วยเรื่องของ การกำหนด Focus ให้กับ Web Controls

December 29, 2008 1 comment

ว่ากันไปแล้วผมเขียนโปรแกรมมานาน ผมหมายถึง Windows form นะครับเรื่องของการ Focus ไปยัง control ใด ๆ ก็ไม่ใช้เรื่องยาก เพราะว่าส่วนใหญ่แล้ว controls ต่างเหล่านั้นจะมี Method สำหรับการ Focus ไปที่ controls นั้น ๆได้ แต่การเขียนโปรแกรม บน Web แล้วต้องขอยืมความช่วยเหลืออันวิเศษ จาก scripts เช่น Java script นะครับ แต่สำหรับ ASP.NET 2.0 นั้นคือสิ่งที่เพิ่งมีให้ใช้งาน ผมหมายถึง Web Controls นะครับ

ดังนั้น Web controls จึงมี method ที่ชื่อว่า Focus ทุก controls ซึ่งเราจะใช้ได้ก็เฉพาะ controls ที่เป็นพวก Input controls ( controls ที่สามารถรับข้อมูลจากการพิมพ์จาก Keyboard ได้ ) เมื่อ Web page ถูก render ที่ browser ผู้ใช้จะเริ่มการทำงานที่ control ที่ถูก Focus ซึ่งเรามักจะออกแบบให้มี function การทำงานเป็นแบบนี้ ผมรู้ทุกคนตอบในใจว่า จริงของ –ึง ฮะ ฮะ ตัวอย่างให้เห็นภาพ ก็อย่างเช่น สมมติว่าเรามี form สำหรับให้ผู้ใช้แก้ไข ข้อมูลของ customer เราอาจจะกำหนดหนดให้มีการ เรียก focus method ที่ ข้อมูล address ของ customer ซึ่งอาจจะเป็น TextBox แรก ในหน้าจอนั้น นะครับ ด้วยวิธีการนี้ก็จะทำให้ cursor ปรากฏอยู่ที่ TextBox ทันที่ หรือ หาก TextBox นี้อยู่ด้านล่างของ form ซึ่งอาจจะเกินหน้าจอไป มันก็จะถูก scroll กลับมายังที่ตำแหน่งที่เหมาะสมโดยอัตโนมัตินะครับ หลังจากนั้นผู้ใช้ก็สามารถที่จะเลื่อน Focus ไปยัง control อื่น ๆ ตามลำดับโดยใช้ Tab key ( หรือพวกเราชอบ Modify ให้มันสามารถเลือนไปได้ด้วย Enter key also แม่นบ่ )

ครับ อย่างที่ได้กล่าวไป ถ้าเราคุ้นเคยกับการเขียน HTML ก็จะรู้ว่า ไม่มีวิธีการใดใด ที่จะทำให้เกิด การทำงานแบบนั้นได้ หากไม่มีตัวช่วยอย่าง JavaScript ซึ่งนี่ก็คือความลับของ ASP.NET หล่ะครับ หรือไม่ลับก็ไม่รู่สิ ผมเพิ่งรู้ก็เลยบอกว่ามันเป็นความลับ มันทำงานอย่างนี้นะครับ หลังจากที่มันทำการ ประมวลผล code ที่ใส่ไปแล้ว page จะถูก render และส่งกลับมายัง client แต่ก่อนที่จะส่งกลับนั้น หลังจาก render เสร็จมากกว่า ASP.NET จะเพิ่ม JavaScript code เข้าไปที่ท้ายอขง page นั้น JavaScript Code นี้มันทำหน้าที่ กำหนด focus ไปที่ Control ที่ trig Focus() method control ท้ายสุดเลยนะครับ ( หมายถึงหากมีการ trig หลาย ๆ control คนที่ trig คนสุดท้ายนั้นจะได้ focus เมื่อแสดงผลใน Browser ) ตัวอย่างก็แบบนี้นะครับ

นอกจากการ เรียกใช้ Focus() method ตรง ๆ แล้ว เรายังสามารถที่จะ set focus ให้กับ control ที่เราต้องการให้ถูก focus เสมอเมื่อ แสดง page นั้น ( นอกเสียจากว่า มันโดน แทนที่ด้วยการ เรียก Focus() method ) ทำได้ด้วยการ กำหนดที่ DefaultFocus property ของ Form แบบนี้

ที่มาที่ไปของ WebForm_AutoFocus() ที่ ASP.NET สร้างขึ้นให้ อัตโนมัตินั้น เป็น JavaScript method ที่มีอยู่ใน WebResource.axd ( ASP.NET extension ) มีชื่อว่า Focus.js ถ้าเรา อยากจะดูให้ลึกลงไปสักนิดเมื่อเราไปเปิด HTML page ดู จะเห็น script element ที่อ้างอิงไปยัง Focus.js มีลักษณะคล้าย ๆ แบบนี้

วิธีอื่น ที่เราจะเล่นกับ focus ก็คือการใช้งาน access keys เช่นเมื่อเรา กำหนด AccessKey property ของ TextBox ให้เป็น A เมื่อ ผู้ใช้ กด Alt+A focus จะสลับไปยัง TextBox ทันที่ Label ก็ใช่ว่าจะไม่มีอะไรให้เล่นนะครับ ถึงแม้ว่าตัวมันเองไม่สามารถ รับ focus ได้ วิธีก็คือ ให้ กำหนด AssociatedControlID property ของ Label ให้เป็น ID ของ input control ที่มันเป็นตัวอธิบายอยู่ ด้วยวิธีนี้ label จะโยน focus ไปยัง control ที่เรากำหนด ID ไว้ใน AssociatedControlID

ตัวอย่างเช่น Label ใน code จะส่ง focus ให้กับ TextBox2 เมื่อผู้ใช้งาน กด Alt+2


TextBox2:

เป็นต้น
เพิ่มเติมอีกนิด เรื่องของ access keys นั้น browser ที่ เป็น non-Microsoft browsers พูดง่าย ไม่ใช้ IE ก็สนับสนุน นะครับ เช่น Firefox เป็นต้น

Categories: ASP.NET Tags: ,

การป้องกันการโจมตีด้วย SQL Injection , SQL Injection Attacks

December 29, 2008 2 comments

ในเรื่องที่จะพูดถึงนี้ น่าจะพูดได้ว่าเป็นเกร็ดเล็กเกร็ดน้อยที่ ผู้พัฒนาควรจะรู้และเป็นประโยชน์มากเมื่อนำไปประยุกต์ใช้งาน เรื่องที่จะพูดถึงก็คือ การป้องกันการโจมตีด้วย

SQL Injection มันเป็นอย่างไร พูดอย่างง่าย ๆ ก็คือ กระบวนการหรือการ ส่งหรือใส่ SQL code ไปยัง application โดยที่ผู้พัฒนาไม่ได้ตั้งใจหรือไม่ได้เจตนาที่ทำให้เกิด SQL code แบบนั้น ( เกิดจากบุคคลที่ 3 ด้วยความปรารถนาที่เป็นลบนั่นเอง ) คงพอจะเข้าใจนะครับ  ซึ่งเหตุการณ์แบบนี้จะเกิดขึ้นได้ก็ต่อเมื่อ application นั้นถูกออกแบบมาอย่างไม่ดีเท่าที่ควร หรือที่เรียกว่า poor design นะครับ  — ส่วนใหญ่มันมักถูกจะออกแบบมาแบบนั้นซะด้วยซิ ว่าไหมครับ  — ซึ่งมันก็จะเกิดกับ application ที่ใช้เทคนิค การสร้าง SQL String ให้กับ Command Object โดยการรับข้อมูลมาจาก ผู้ใช้งาน คงจะนึกภาพไม่ออก มาดูตัวอย่างเพื่อให้มองเห็นภาพอย่างชัดเจนดีกว่านะครับ

String sql =
“SELECT Orders.CustomerID, Orders.OrderID, COUNT(UnitPrice) AS Items, “ +
“SUM(UnitPrice * Quantity) AS Total FROM Order “ +
“INNER JOIN OrderDetails “ +
“ON Orders.OrderID = OrderDetail.OrderID “ +
“WHERE Orders.CustomerID = ‘” + txtID.Text +” ’ ” +
“GROUP BY Orders.OrderID, Orders.CustomerID”;

SqlCommand cmd = new SqlCommand(sql,connection);

จากตัวอย่าง ผู้บุกรุกอาจจะทดสอบ SQL statement ด้วยวิธีการต่าง ๆ โดยจุดประสงค์แรกก็คือเพื่อให้ได้มาซึ่ง error Message ซึ้งถ้า Error นั้นไม่ถูกปล่อยปะละเลยหรือไม่ถูกดำเนินอย่างเหมาะสมแล้วละก็ System Error message อาจถูกแสดงออกไป และเป็นประโยชน์ต่อผู้บุกรุกที่จะนำไปใช้ต่อไปได้อีก
ตัวอย่าง ลองคิดกันดูนะครับว่าจะเกิดอะไรขึ้นถ้า user ป้อนข้อมูลนี้ลงใน TextBox จากตัวอย่างข้างต้น

ALFKI’ OR ‘1’=’1

จะส่งผลให้ SQL Statement เป็นดังนี้

SELECT Orders.CustomerID, Orders.OrderID, COUNT(UnitPrice) AS Items,
SUM(UnitPrice * Quantity) AS Total FROM Orders
INNER JOIN [Order Details]
ON Orders.OrderID = [Order Details].OrderID
WHERE Orders.CustomerID = ‘ALFKI’ OR ‘1’=’1′
GROUP BY Orders.OrderID, Orders.CustomerID

พิจารณา Expression หลัง WHERE จะเห็นว่า ข้อมูลทั้งหมดในตาราง Orders จะถูกแสดงออกมา ใช่ไหมครับ ผมคงไม่ต้องอธิิบายรายละเอียดนะครับ เนื่องจากว่า มันเป็น Logic ของ OR ใช่ไหมครับ ถ้าค่าด้านหนึ่งด้านใด เป็น จริง ก็จะส่งผลให้ทั้ง Statement เป็น จริงแมนบ่ ครับ  น่านแหละครับ 1=1 เป็น จริง ไม่ว่า CustomerID จะเป็นอะไรก็ตาม ทั้งหมดเป็นจริง

sqlinject11ครับ คิดต่ออีกนิดถ้าหากว่าข้อมูลดังกล่าวนั้นเป็นข้อมูลที่ Sensitive หละครับ เช่น Social Security numbers  วันเกิด   หรือ  ข้อมูล Credit card   ละก็จะถือว่านี้เป็นปัญหาใหญ่หลวง ซึ่งอาจก่อให้เกิดความเสียหายมหาศาล ใช่ใหม่ครับ

ตัวอย่างวิธีการที่ซับซ้อนมากกว่านั้นขึ้นไปอีกเช่น
ผู้บุกรุกสามารถ comment ส่วนท้ายของ SQL Statement โดยใช้ — สำหรับ SQL Server ( MySql ใช้ # และ Oracle ใช้ ; ) หรือ ใช้ การสั่งงานแบบ Batch ได้เพื่อเพิ่ม SQL Code เข้าไปทำงานอย่างใดอย่างหนึ่ง ในกรณีนี้ สำหรับ SQL Server ก็แค่เพียงเพิ่ม semicolon และตามด้วย Command ที่ีต้องการ ซึ่งทำให้ผู้บุกรุกสามารถ ลบข้อมูลใน Table อื่นได้ หรือ สามารถเรียกใช้ SQL Server xp_cmdshell system stored procedure เพื่อประมวลผลโปรแกรม ที่ command line ได้ เป็นไงหล่ะครับ ไปได้ถึงขนาดนั้น
ครับลองดูตัวอย่างนี้นะครับ ถ้าผู้ใช้งานกรอกข้อมูลนี้ลงใน txtID TextBox ลองพิจารณาดูนะครับ

ALFKI’ ; DELETE * FROM Customers —

หมายความว่า หลังจากที่ได้แสดงข้อมูล Orders ของ CustomerID เท่ากับ ALFKI แล้ว ต่อด้วยการลบข้อมูลทั้งหมดในตาราง Customers และยกเลิก คำสั่งต่อท้ายที่เหลือทั้งหมด ครับ

ว่ากันด้วยการป้องกัน —
ต่อมา เราลองมาดูกันว่าเราจะทำอย่างไรถึงจะสามารถจัดการหรือป้องกันการโจมตีแบบนี้ ได้บ้าง
แน่นอนครับ สำหรับโปรแกรมเมอร์แล้วเราสามารถการปฏิบัติตาม แนวทางที่เราเชื่อว่าเป็นแนวทางการปฏิบัติที่ดีเช่น การจำกัดความยาวของข้อมูลที่อนุญาตให้ป้อนลงใน TextBox โดยการกำหนด TextBox.MaxLength ไม่ให้ยาวเกินความจำเป็น ซึ่งเป็นการลดโอกาสที่ ผู้รุกจำสามารถป้อน script ยาว ๆ ลงไปได้ ยิ่งไปกว่านั้น เราต้องทำการจำกัดข้อมูลของ Error message ถ้าเราดัก exception ของ database เราก็ควรที่จะแสดงเฉพาะข้อความที่เป็นคำอธิบาย เช่น “Data source error” แทนที่จะแสดง ข้อมูลใน Exception.Message ซึ่งอาจจะเป็นจะเป็นการชี้ โพรงให้กระรอกได้ ( ช่องโหว่ของระบบได้ )

และยิ่งไปกว่านั้น คุณก็ต้อง จัดการกับ character พิเศษต่าง เช่น แปลง single quotation marks (‘) เป็น two quotation marks (“) เพื่อให้ไม่ทำให้เกิดความสับสนกับ ตัวปิดหัวท้าย

string ID = txtID.Text().Replace(“‘”,”””);

ครับ ไม่ได้หมายถึงมันจะจบสิ้นนะครับ มันจะนำมาซึ่ง ความปวดหัวเพิ่มเข้าไปอีกถ้า ค่าของ txtID.Text นั้นมี apostrophes ขึ้นมา ซึ่งมันอาจจะเกิดขึ้นได้ อีกต่อ ๆ ไปซึ่งสรุปได้ว่า แนวทางปฏิบัติดังกล่าวไม่สามารถแก้ไขปัญหา SQL Injection ได้อย่างสมบูรณ์แบบ ผมสรุปแบบนี้ไม่ใช่ว่ามันจะจบลงแบบนี้หรอกนะครับ เพียงแต่จะบอกว่ามีวิธีการที่ดีกว่านั้นสำหรับการป้องกัน SQL injection attack ซึ่งผมจะไ้ด้กล่าวต่อไป

การป้องกัน SQL injection attack โดยการ ใช้ Parameterized Commands

Parameterized Command ใช้ placeholders ใน SQL text ซึ่ง Parameterized command นี้เป็นตัวกำหนด dynamic values ที่จะส่งผ่านมาทาง Parameters collection ของ Command object ดูดังตัวอย่าง นะครับ
จาก SQL Statement
SELECT * FROM Customers WHERE CustomerID = ‘ALFKI’
เปลี่ยนเป็น
SELECT * FROM Customers WHERE CustomerID = @CustID

ลองมาดูตัวอย่างเต็ม ๆ กันนะครับ ( สมมติว่าเราสร้าง connection object ไว้แล้ว )

String sql =
“ SELECT Orders.CustomerID, Orders.OrderID, COUNT(UnitPrice) AS Items, “ +
“ SUM(UnitPrice * Quantity) AS Total FROM Orders “ +
“ INNER JOIN OrderDetails “ +
“ ON Order.OrderID = OrderDetails.OrderID “ +
“ WHERE Orders.CustomerID = @CustID “ +
“ GROUP BY Orders.OrderID, Orders.CustomerID” ;
SqlCommand cmd = new SqlCommand(sql,con);
cmd.Parameters.Add(“@CustID”, txtID.Text);

ถ้าเราลองทำ SQL injection attack กับ code ที่ถูกปรับปรุงใหม่แล้ว เราจะบบว่าโปรแกรมจะไม่ส่งข้อมูลใดออกมาแสดงผลเลยเนื่องจาก นั่นก็หมายความว่าไม่มี order items ใดที่มีข้อมูล customerID มีค่าเท่ากับ ALFKI’ OR ‘1’=’1 ซึ่งเป็นสิ่งที่คุณต้องการใช่ไหมครับ

การป้องกัน SQL injection attack โดยการ ใช้ Stored Procedures
Stored Procedures ผมคงจะไม่อธิบายว่ามันคืออะไรทำงานอย่างไรหรอกนะครับ คิดว่าท่านทั้งหลาย รู้จักดีอยู่แล้ว แต่จะขอกล่าวถึงประโยชน์ของมันสักนิดหนึ่ง คือ

  • ง่ายต่อการบำรุงรักษา หมายถึงว่าตัว stored procedures นั้นมันแยกอยู่ต่างหากกับโปรแกรมที่เรียกใช้มัน เพราะฉะนั้นหากจะต้องมีการเปลี่ยนแปลงอะไรที่ stored procedure ก็สามารถทำได้โดยไม่ต้องมีการ Recompile ทั้งโปรแกรมนั่นเอง
  • ทำใ้ห้เราสามารถใช้งาน database ในวิถีทางที่ปลอดภัยได้ เราสามารถที่จะกำหนดให้ stored procedures สามารถเข้าถึงเฉพาะ tables ที่กำหนดได้
  • – ทำให้ประสิทธิภาพการทำงานดีขึ้น เนื่องจาก stored procedures สามารถรวม หลาย ๆ คำสั่งทำงานในคราวเดียวกันได้ ซึ่งทำให้เราสามารถทำงาน ให้เสร็จหลาย ๆงานพร้อมกันได้ต่อหนึ่งรอบการเข้าถึง database

มาดูตัวอย่างกันดีกว่านะครับว่าจะใช้งานอย่างไร ซึ่งจริงแล้วไม่ก็คือ การใช้ Place holder กับ Parameterized Command Object นั่นแหละ ครับ เพียงแต่เราเรียกใช้ stored procedure แทนที่จะใช้การส่งผ่าน sql text สมมติว่าเราสร้าง Stored procedure ไว้ดังนี้นะครับ

CREATE PROCEDURE InsertEmployee
@TitleOfCourtesy varchar(25),
@LastName varchar(20),
@FiratName varchar(10),
@EmployeeID int OUTPUT
AS
INSERT INTO Employees ( TitleOfCourtesy, LastName, FirstName, HireDate )
VALUES (@TitleOfCourtesy, @LastName, @FirstName, GETDATE());

SET @EmployeeID = @@IDENTITY
GO

Stored procedures มี parameters 3 ตัวคือ TitleOfCourtesy, LastName, และ FirstName ซึ่ง return ID ของ record ออกมาทาง output parameters ชื่อว่า @EmployeeID

ต่อไปเราสร้าง SqlCommand เพื่อเรียกไปยัง stored procedure command นี้มี input Parameters 3 ตัวเช่นเดียวกัน และ ส่งค่า ID ของ record ใหม่ออกมาให้ต่อไปเป็นตัวอย่างของการสร้าง

SqlCommand cmd = new SqlCommand(“InsertEmployee”, con);
cmd.CommandType = CommandType.StoredProcedure;

ต่อไปเราก็เพิ่ม parameters ของ stored procedures เข้าไปที่ Collection ของ Command.Parameters ซึ่งเราต้องกำหนด data type และ ขนาดของ parameter นั้นด้วย ดังนี้

cmd.parameters.Add(new SqlParameter(“@TitleOfCourtesy”, SqlDbType.NVarChar,25));
cmd.Parameters[“@TitleOfCourtesy”].Value = title;
cmd.Parameters.Add(new SqlParameter(“@LastName”, SqlDbType.NVarChar, 20));
cmd.Parameters[“@LastName”].Value = lastName;
cmd.Parameters.Add(new SqlParameter(“@FirstName”, SqlDbType.NVarChar, 10));
cmd.Parameters[“@FirstName”].Value = firstName;

cmd.Parameters.Add(new SqlParameter(“@EmployeeID”, SqlDbType.Int, 4));
cmd.Parameters[“@EmployeeID”].Direction = ParameterDirection.Output;

สังเกตว่า Parameter ตัวสุดท้ายนั้นเป็น output parameter นะครับ

สุดท้ายเราก็ทำการ run

con.Open();
try
{
int numAff = cmd.ExecuteNonQuery();
HtmlContent.Text += String.Format(“Inserted {0} record(s)
“, numAff);
// Get the newly generated ID.
empID = (int)cmd.Parameters[“@EmployeeID”].Value;
HtmlContent.Text += “New ID: ” + empID.ToString();
}
finally
{
con.Close();
}

ครับทั้งหมด ก็มาจบตรงที่ สองวิธีการสุดท้ายที่เราสามารถที่จะป้องกันการ โจมตี ด้วย SQL Injection ได้อย่างมีประสิทธิภาพ ก็คือการใช้ Parameterized Commands และการใช้ Stored procedures นั่นเอง นี่เป็น ส่วนหนึ่งของการแก้ปัญหานี้นะครับ
หากต้องการข้อมูลเพิ่มเติมละก็ ผมใช้ข้อมูลจากหนังสือเล่มนี้นะครับ Pro ASP.NET 2.0 in C# 2005

Categories: ADO.NET, C# .NET Tags: ,