ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC KHOA HỌC XÃ HỘI VÀ NHÂN VĂN KHOA: THƯ VIỆN – THƠNG TIN HỌC CƠNG TRÌNH NGHIÊN CỨU KHOA HỌC SINH VIÊN CẤP TRƯỜNG NĂM 2016 Têncơngtrình: CÁC PHƯƠNG THỨC TẤN CƠNG VÀ PHỊNG THỦ TRONG HỆ THỐNG MẠNG Sinhviênthựchiện: Chủnhiệm: TrầnThanhLiêm Lớp: QuảntrịThơng tin Khóahọc: K29 Thànhviên: NguyễnThịMỹPhụng Lớp: QuảntrịThơng tin Khóahọc: K29 VõThịThúyHạnh Lớp: QuảntrịThơng tin Khóahọc: K29 HồThịThúyHằng Lớp: QuảntrịThơng tin Khóahọc: K29 VươngThịHảiNhư Lớp: QuảntrịThơng tin Khóahọc: K29 Ngườihướngdẫn: ThS NguyễnVănHiệp, Thơng tin – Thưmục, KhoaThưviện –Thông tin học     LỜI CẢM ƠN Để hồn thành nghiên cứu khoa học này, khơng nỗ lực nhóm mà cịn hỗ trợ, giúp đỡ tận tình từ phía q thầy cơ, gia đình bạn bè suốt thời gian thực đề tài Với lòng biết ơn sâu sắc, xin gửi lời cảm ơn chân thành tới tồn thể q thầy khoa Thư viện – Thông tin học, trường Đại học Khoa học xã hội Nhân văn TP.HCM Thạc Sỹ Nguyễn Thanh Huy tạo tảng để chúng tơi có kiến thức thực đề tài này, đặc biệt Thạc Sỹ Nguyễn Văn Hiệp - người ln tận tình hướng dẫn, giúp đỡ tạo điều kiện để chúng tơi hồn thành đề tài nghiên cứu khoa học cách tốt Trong thời gian thực đề tài, gặp nhiều bỡ ngỡ trình tìm hiểu, nghiên cứu an ninh mạng, vậy, chắn khơng tránh khỏi thiếu sót đề tài Chúng tơi mong nhận ý kiến đóng góp quý báu từ phía q thầy bạn để chúng tơi hồn thiện kiến thức lĩnh vực Cuối cùng, chúng tơi xin gửi lời chúc tốt đẹp tới quý thầy cô khoa Thư viện – Thơng tin học, kính chúc q thầy cô dồi sức khỏe, thành công đường trồng người Trân trọng! TP.HCM, ngày 14 tháng 03 năm 2016     DANH MỤC NHỮNG TỪ VIẾT TẮT Từ viết tắt Cụm từ đầy đủ ASCII American Standard Code for Information Interchange APT Advanced Persistent Threat CIA Confidentiality Integrity Availability CPU Central Processing Unit CSDL Cơ sở liệu CSS Cascading Style Sheets DdoS Distributed Denial of Service DOD Department of Defense DoS Denial of Service DRDoS Distributed Reflection Denial of Service HTML HyperText Markup Language ICMP Internet Control Message Protocol IIS Internet Information Services IT Information Technology LAN Local Area Network MAN Metropolitan Area Network OSI Open Systems Interconnection PHP Personal Home Page (HyperText PreProcessor) RAM Random Access Memory SQL Structured Query Language TCP/IP Transmission Control Protocol UDP User Datagram Protocol URL Uniform Resource Locator WAN Wild Area Network     MỤC LỤC TÓM TẮT PHẦN MỞ ĐẦU 1 Tính cấp thiết đề tài Tình hình nghiên cứu Mục đích nhiệm vụ nghiên cứu 4 Đối tượng phạm vi nghiên cứu Phương pháp nghiên cứu Bố cục CHƯƠNG MẠNG MÁY TÍNH VÀ VẤN ĐỀ AN TỒN BẢO MẬT THƠNG TIN 1.1 Mạng máy tính 1.1.1 Lợi ích việc kết nối mạng máy tính 1.1.2 Phân loại mạng máy tính 1.1.3 Mơ hình OSI (Open System Interconnection) giao thức TCP/IP (Transmission Control Protocol/Internet Protocol) 1.2 Tổng quan an tồn bảo mật thơng tin 1.2.1 Khái niệm 1.2.2 Nguyên tắc tảng an toàn bảo mật thông tin 1.2.3 Các loại hình cơng mạng 11 1.2.4 Các bước công mạng 13 1.2.5 Một số kĩ thuật công mạng 15 1.2.6 Xu hướng công hệ thống mạng 18 1.2.7 Các nguy an toàn hệ thống mạng 20 1.2.8 Các biện pháp phòng thủ 22     CHƯƠNG KỸ THUẬT TẤN CÔNG SQL INJECTION VÀ SOCIAL ENGINEERING 26 2.1 SQL Injection 26 2.1.1 Tổng quan SQL Injection 26 2.1.2 Cách thức công SQL Injection 27 2.1.3 Mức độ thiệt hại 29 2.1.4 Các dạng công SQL Injection 31 2.1.5 Cách phòng chống 36 2.2 Social Engineering 36 2.2.1 Social Engineering 36 2.2.2 Nghệ thuật thao túng 37 2.2.3 Điểm yếu người 38 2.2.4 Phân loại kĩ thuật Social Engineering 40 2.2.5 Các bước công Social Engineering 42 2.2.6 Một sốphương thức công phổ biến cách phòng tránh cụ thể 43 2.2.7 Biện pháp đối phó Social Engineering 45 CHƯƠNG MÔ PHỎNG TẤN CÔNG WEBSITE BẰNG SQL INJECTION SỬ DỤNG CÂU LỆNH SELECT VÀ CÁCH PHÒNG CHỐNG 47 3.1 Mục tiêu thử nghiệm 47 3.2 Các bước công Sql Injection câu lệnh Select hình ảnh minh họa 54 3.3 Cách phòng chống 60 3.3.1 Đối với website (dành cho lập trình viên) 61 3.3.2 Đối với web server (dành cho quản trị mạng) 62 3.3.3 Đối với database server (dành cho quản trị mạng) 62     3.3.4 Hạn chế bị phát lỗi 62 3.3.5 Phòng chống từ bên 62 3.3.6 Cải thiện liệu nhập vào 63 KẾT LUẬN 66   1    TÓM TẮT Trong đề tài này, nhóm chúng tơi chủ yếu tìm hiểu cách thức cơng phịng thủ mạng Trong đó, chúng tơi sâu vào tìm hiểu, nghiên cứu hai phương thức công mạng nguy hiểm công phương pháp kỹ thuật (SQL Injection ) phi kỹ thuật (Social Engineeing); đồng thời đưa số biện pháp phòng thủ tương ứng với hai phương thức Trong trình nghiên cứu, nhóm thực đưa ví dụ mơ để làm rõ cách thức công SQL Injection Cụ thể đồ án chia làm phần Phần thứ sơ lược mạng máy tính tổng quan an tồn bảo mật thơng tin Trong phần này, chúng tơi nêu lợi ích việc kết nối mạng, phân loại mạng máy tính mơ tả mơ hình OSI giao thức TCP/IP mạng máy tính Bên cạnh đó, đưa khái niệm, nguyên tắc, loại hình, cách thức, kỹ thuật xu hướng công hệ thống mạng nhằm nhấn mạnh nguy gây an toàn hệ thống mạng trình bày biện pháp phịng thủ chung, phổ biến Phần thứ 2, nhóm nghiên cứu chọn hai kỹ thuật công mạng phổ biến nguy hiểm “Kỹ thuật cống SQL Injection Social Engineering” để tìm hiểu chi tiết Trong phần này, nhóm nghiên cứu đưa khái niệm sâu vào phân tích cách thức, kĩ thuật cơng, mức độ gây hại để từ đề xuất biện pháp phòng chống cụ thể Cuối cùng, phần thứ ba nhóm nghiên cứu thực mơ công website phương pháp SQL Injection; cụ thể mơ nhóm làm rõ mục tiêu thử nghiệm; song song đó, sử dụng câu lệnh SELECT với hình ảnh minh họa để công website đề cách hạn chế bị phát lỗi, biện pháp phòng chống bước cải thiện liệu nhập vào PHẦN MỞ ĐẦU Tính cấp thiết đề tài Sự phát triển mạnh mẽ công nghệ, truyền thông với việc Internet trở nên phổ biến thâm nhập, tác động sâu sắc đến hầu hết lĩnh vực kinh tế, trị, xã 2    hội… Chính nhờ điều này, giúp cho việc tiếp cận, quản lí, chia sẻ thơng tin cá nhân, tổ chức diễn cách nhanh chóng thuận lợi nhiều Tuy nhiên, với thuận tiện việc thơng tin dễ dàng bị đánh cắp kẻ công mạng (Hacker) Hoạt động tổ chức, doanh nghiệp ngày phụ thuộc nhiều vào hệ thống mạng máy tính sở liệu (CSDL), nơi lưu trữ số lượng lớn thông tin cá nhân khách hàng vô số tài liệu mật khác, việc thông tin bị sai lệch bị hay hệ thống bị quyền quản trị ảnh hưởng vơ lớn đến q trình hoạt động phát triển Nhận thấy tầm quan trọng thông tin, hacker ln tạo nhiều hình thức cơng khác nhắm vào thông tin cá nhân người dùng để trục lợi, thông tin nhiều, quan trọng dễ dàng mục tiêu cơng Các hình thức cơng mạng kể đến như: Cross Site Scripting, Information Leakage, Directory Traversal, Hacking Wireless, SQL Injection, Session Hijacking… Trong thời buổi bùng nổ thơng tin nay, ngồi việc đảm bảo thơng tin cập nhật cung cấp cách nhanh chóng, xác vấn đề bảo vệ an tồn cho thơng tin coi yếu tố sống cịn Do đó, để làm tốt cơng tác bảo vệ cần có nhìn cụ thể cách thức phương pháp cơng để từ tìm cách giải phịng tránh cụ thể, lý nhóm định lựa chọn đề tài: “Các phương thức cơng phịng thủ hệ thống mạng” để nghiên cứu Tình hình nghiên cứu Vấn đề bảo đảm an tồn liệu cho máy tính kết nối vào mạng Internet có vai trị quan trọng, nhằm mục đích bảo vệ liệu, bảo vệ thông tin doanh nghiệp, người dùng, bảo vệ hệ thống từ mối đe dọa an ninh mạng nay, kể đến hình thức như: công từ chối dịch vụ DDoS- Botnet, công lỗ hổng bảo mật web SQL Injection, sử dụng Proxy cơng mạng, cơng tầng ứng dụng,…Với tình hình đó, có nhiều đề tài nghiên cứu cách thức cơng mạng tìm giải pháp chúng tiến hành nước lẫn giới như: 3    Đầu tiên nghiên cứu nước gồm: “Phát cảnh báo lỗ hổng bảo mật SQL Injection ứng dụng web” luận văn thạc sĩ Nguyễn Thúy Hồng, năm 2013”; “Tìm hiểu an ninh mạng kỹ thuật SQL Injection” đồ án môn học Phạm Thị Thảo vàVương Đình Khoa, năm 2012; “Bảo vệ ứng dụng web chống cơng kiểu SQL Injection” Lê Đình Huy, kỷ yếu hội thảo Công nghệ thông tin -2004, Đại học Khoa Học Tự Nhiên Tp.HCM; “Nghiên cứu số vấn đề bảo mật ứng dụng web Internet” khóa luận tốt nghiệp Nguyễn Duy Thăng Nguyễn Minh Thư, năm 2003;“Phát lỗ hổng an ninh ứng dụng web”, đồ án tốt nghiệp Bùi Duy Hùng, năm 2009; “Tìm hiểu kĩ thuật cơng Ethical Hacking ”, Đồ án môn học An ninh mạng- Trường Cao đẳngCông nghệ thông tin Việt-Hàn, năm 2012; “Nghiên cứu phân tích số phương thức cơng điển hình mạng máy tính phương pháp ngăn chặn”, Luận án Thạc sĩ Nguyễn Văn Thịnh, năm 2012; “Nghiên cứu vấn đề an ninh mạng Internet không dây ứng dụng”, Luận văn Thạc sĩ Bùi Phi Long, năm 2009; “Tìm hiểu an ninh mạng kỹ thuật Enumeration”, đồ án môn học Đỗ Duy Sơn, Trường Cao đẳngCông nghệ thông tin Việt- Hàn, năm 2012 Bên cạnh đó, cịn có nhiều luận văn, nghiên cứu Quốc tế như: “A Classification of SQL Injection Attacks and Countermeasures”, William G.J Halfond, Jeremy Viegas Alessandro Orso College, Học viện cơng nghệ máy tính Georgia, năm 2006; “Dissertation Defense-Analyzing Cyber Attacks”, Zhenxin Zhan đại họcTexas - San Antonio, năm 2014; “A Model to Study Cyber Attack Mechanics and Denial-of-Service Exploits over the Internet's Router Infrastructure Using Colored Petri Nets”, Master’s Theses Doctoral Dissertation, Lawrence M.Healy,đại học Michigan miền đông, năm 2009; “Cisco Secure Intrusion Detection System”, Earl Carter, năm 2001 Nhìn chung, đề tài có nêu giải pháp phịng tránh cơng mạng Tuy nhiên, chưa có biện pháp phịng tránh tuyệt đối, phương thức cơng ln thay đổi không ngừng ngày tinh vi hơn, gây thiệt hại vô to lớn cho tổ chức, quan phủ, doanh nghiệp cá nhân Vì vậy, đề tài thực khơng nằm ngồi mục đích tìm hiểu, phân tích đặc biệt cập nhật lỗ hổng bảo mật phương thức công hệ 4    thống mạng ứng dụng Web biện pháp phòng tránh Đề tài đóng góp phần nhỏ cho kho nghiên cứu khoa học nước giới nhằm tìm biện pháp phịng tránh hiệu công mạng Mục đích nhiệm vụ nghiên cứu Mục đích nghiên cứu: Tìm hiểu phân tích số phương thức cơng mạng phương pháp phịng thủ Nhiệm vụ nghiên cứu: Để đạt mục đích nghiên cứu đề ra, đề tài hướng tới giải vấn đề sau: - Trình bày tổng quan hình thức cơng mạng phổ biến tập trung vào làm rõ hai phương thức SQL Injection Social Engineering - Mục đích, nội dung mối nguy hại, nguy rủi ro phương thức công mạng - Xác định cách thức cơng SQL Injection Social Engineering - Hướng phịng thủ công mạng, đặc biệt hai phương thức: SQL Injection Social Engineering Đối tượng phạm vi nghiên cứu Đối tượng nghiên cứu: Các phương thức cơng phịng thủ hệ thống mạng Phạm vi nghiên cứu: Đề tài nghiên cứu cách thức công hệ thống mạng phổ biến, tập trung chủ yếu vào hai phương thức công nguy hiểm SQL Injection (tấn công kỹ thuật) Social Engineering (tấn công phi kỹ thuật), từ đưa cách phịng thủ nhằm hạn chế công Phương pháp nghiên cứu Đề tài kết hợp sử dụng nhuần nhuyễn phương pháp nghiên cứu: phân tích, tổng hợp tài liệu, phương pháp mô - Phương pháp nghiên cứu, phân tích tổng hợp tài liệu: sử dụng để tìm hiểu sở lý luận an tồn bảo mật thông tin, chế cách thức tấng công SQL Injection Social Engineering 54    3.2 Các bước công Sql Injection câu lệnh Select hình ảnh minh họa Bước 1: Xác địnhwebsite thử lỗi Website: http://dongde.com.vn Tiến hành xác định lỗi cách thêm ký tự đặc biệt “ ’ ” vào sau đường dẫn website, cụ thể mục sản phẩm với sản phẩm máy khắc nhãn mác Ví dụ : http://dongde.com.vn/sanpham.php?cat=3’ Với đường dẫn trên, thực thi tiện ích Hackbar trả kết “Query Failed”, điều chứng tỏ website có chứa lỗi Hình 22: Website bị lỗi Sql Injection Bước 2: Xác định sở liệu xây dựng website có cột Ta sử dụng câu lệnh order by tham số từ trở đi, xuất thơng báo lỗi dừng lại Câu lệnh cụ thể http://dongde.com.vn/sanpham.php?cat=3 order by 10 Với câu lệnh thực thi tham số từ 1-9 có kết trả Tuy nhiên, thực thi với tham số 10 kết trả “Query Failed” Do có cột 55    Hình 23: Kết trả với tham số Hình 24: Kết “Query Failed” với tham số 10 Bước 3: Xác định cột bị lỗi Ta xác định cột lỗi cách thêm vào sau đường dẫn câu lệnh union select 1, 2, 3, 4, 5, 6, 7, 8, Cụ thể http://dongde.com.vn/sanpham.php?cat=3 union select 1, 2, 3, 4, 5, 6, 7, 8, Với câu lệnh kết trả cho ta thấy cột số bị lỗi 56    Hình 25: Kết thực thi cho thấy cột số bị lỗi Bước 4: Xác định tên bảng thơng qua cột bị lỗi tìm liệu quan trọng Ta xác định tên bảng thông qua cột bị lỗi cách thêm vào câu hỏi table_name vào ví trí cột 3, from information_schema.tables phía sau Cụ thể http://dongde.com.vn/sanpham.php?cat=3 union select 1, 2, table_name, 4, 5, 6, 7, 8, from information_schema.tables Kết trả tên bảng có bảng đặc biệt ADMIN 57    Hình 26: Kết trả bảng thơng qua lỗi cột số Bước 5: Xác định trường có bảng ADMIN tìm USERNAME PASSWORD Bằng cách thêm vào câu lệnh concat (table_name, char(58), column_name) from information_schema.columns Cụ thể là: http://dongde.com.vn/sanpham.php?cat=3 union select 1, 2, concat (table_name, char (58), column_name), 4, 5, 6, 7, 8, from information_schema.columnms Kết trả hàng loạt cột có cột USERNAME PASSWORD admin 58    Hình 20: Kết cho thấy tồn cột USERNAME PASSWORD bảng ADMIN Tiếp theo ta tìm giá trị cụ thể USERNAME PASSWORD cách cách thay table_nametrong câu lệnh USERNAME column_name PASSWORD Cụ thể http://dongde.com.vn/sanpham.php?cat=3 union select 1, 2, concat (USERNAME, char (58), PASSWORD) , 4, 5, 6, 7, 8, from ADMIN Kết trả cho thấy admin website có tên đăng nhập “QUANTRI” mật “DD-2013” Hình 21: Kết trả cho thấy giá trị username password admin 59    Bước 6: Tìm trang đăng nhập hệ thống Sau tìm tên đăng nhập mật người quản trị, bước tìm website đăng nhập cách thử đường dẫn mà người quản trị hay tạo ví dụ http://dongde.com.vn/login http://dongde.com.vn/dangnhap Tuy nhiên số trang sử dụng đường dẫn với tên khác việc tìm kiếm khó khăn tốn nhiều thời gian, ta sử dụng phần mềm Web Admin Finder để tìm trang đăng nhập hệ thống Hình 22: Đường dẫn trang đăng nhập tìm thấy với Web Admin Finder 60    Phần mềm sau tìm trang đăng nhập có đường dẫn http://dongde.com.vn/admin Hình 23: Trang đăng nhập website 3.3 Cách phòng chống Lỗi SQL Injection nguy hiểm việc phịng tránh cần thiết Các cơng việc cần thực là: - Lọc bỏ ký tự từ khóa nguy hiểm như: , select , where , drop, shutdown … Để phịng tránh nguy xảy ra, bảo vệ câu lệnh SQL cách kiểm soát chặt chẽ tất liệu nhập nhận từ đối tượng Request (Request, Request.QueryString), Request.Form, Request.Cookies, and Request.ServerVariables) Ví dụ, giới hạn chiều dài chuỗi nhập liệu, xây dựng hàm EscapeQuotes để thay dấu nháy đơn dấu nháy đơn - Cần có chế kiểm sốt chặt chẽ giới hạn quyền xử lí liệu đếntài khoản người dùng mà ứng dụng web sử dụng Các ứng dụng thông thường nên tránh dùng đến quyền dbo hay sa Quyền bị hạn chế, thiệt hại 61    Ngồi để tránh nguy từ SQL Injection attack, nên ý loại bỏ thơng tin kĩ thuật chứa thông điệp chuyển xuống cho người dùng ứng dụng có lỗi Các thơng báo lỗi thơng thường tiết lộ chi tiết kĩ thuật cho phép kẻ công biết điểm yếu hệ thống Hình 24: Tấn cơng Sql Injection 3.3.1 Đối với website (dành cho lập trình viên) Cần kiểm tra tính đắn tất liệu đầu vào Dữ liệu đầu vào không tham số, mà bao gồm cookie, user agent, referer … Việc kiểm tra tính đắn liệu dựa phương pháp sau: - Kiểm tra dựa vào kiểu liệu (số, ngày tháng …) - Kiểm tra, giới hạn độ dài đầu vào - Loại bỏ ký tự đặc biệt như: ‘ % ” ? # @ &“ ’ ”… 62    - Loại bỏ từ đặc biệt: select, drop, delete, information_schemal, insert, union, xp_ … 3.3.2 Đối với web server (dành cho quản trị mạng) Hầu hết máy chủ web (web server) có module hỗ trợ việc phịng chống SQL Injection, ví dụ: Apache có modsecurity, IIS có URLScan Do nhân viên quản trị mạng cần bật tính cấu hình cho phù hợp Thêm vào nhân viên quản trị mạng nên hạn chế việc truy cập từ xa vào hệ thống máy chủ hệ thống mạng từ bên ngoài, có bật chức nên sử dụng chế mã hóa an tồn 3.3.3 Đối với database server (dành cho quản trị mạng) Cần thực việc cấu hình phân quyền chặt chẽ tài khoản Khi đó, dù tồn lỗi SQL Injection, thiệt hại hạn chế Ngoài cần loại bỏ bảng, thành phần tài khoản không cần thiết hệ thống 3.3.4 Hạn chế bị phát lỗi Attacker dựa vào lỗi lập trình ứng dụng để công cụ thể attacker dựa vào dấu hiệu để phát ứng dụng bị lỗi Vậy việc làm cho dấu hiệu bị che đi, trở nên khó hiểu hơn, biến mất…nên sử dụng Lưu ý kĩ thuật dùng để dấu lỗi, lỗi ứng dụng đó, để chống lại phát dễ dàng lỗi để kẻ xấu khai thác Nhưng attacker khơn khéo nhìn thấu kiểu phịng chống Nó tránh công đơn giản thêm dấu ‘(dấu nháy) vào cuối đường dẫn Vì phương pháp tìm kiếm ứng dụng bị lỗi công dựa vào dấu hiệu trả ứng dụng trực tiếp từ database Ta đưa thông báo chung chung định hướng trở lại trang ban đầu (redirect) Trong trường hợp này, công việc tìm kiếm lỗi xác định mục tiêu trở nên cực khó attacker 3.3.5 Phịng chống từ bên Giải pháp dùng tường lửa đặc biệt để bảo vệ hệ thống máy chủ khỏi ứng dụng dùng việc truy cập database với mục đích xấu Chúng ta cần lưu ý attacker 63    tương tác với ứng dụng web thông qua trình duyệt với kết nối từ xa Sau đó, ứng dụng gởi yêu cầu đến database Như ngăn chặn cơng attacker với ứng dụng, ứng dụng với database thân database Một số phương pháp phịng chống thực như: Hình 25: Một số phương pháp phòng chống Những lọc, quét điểu khiển truy cập sở liệu làm cho ứng dụng web khó bị cơng 3.3.6 Cải thiện liệu nhập vào Cách phòng chống thực để chống lại SQL Injection kiểm tra làm câu truy vấn Như đề cập, lỗi ứng dụng không kiểm tra liệu nhập vào người dùng Do người dùng thay đổi, chỉnh sửa, tham số thêm thực thể truy vấn vào câu lệnh Vì liệu nhập người dùng cần theo dõi có ràng buộc định Thứ nhất, ứng dụng cần phân loại kiểu liệu nhập vào Ví dụ, ứng dụng yêu cầu liệu nhập vào kiểu số ứng dụng nhận liệu nhập vào khơng nên chấp nhận kiểu khác ngoại trừ kiểu số Một số hàm kiểm tra PHP: - is_numeric($str): kiểm tra $str có phải kiểu số hay khơng - is_int($str): kiểm tra kiểu interger - is_float($str): kiểm tra kiểu số thực 64    Thứ 2, liệu nhập vào khơng rõ kiểu phải xác định kiểu khơng phép gọi Trong trường hợp phải lọc dấu nháy, lệnh, kí tự đặc biệt Một vài việc lọc liệu thực tồn ứng dụng (như không lưu liệu có dấu ‘ vào sở liệu) vài kiểu liệu nhập vào ( dấu “,” địa mail) VD: magic_quotes_gpc GPC=GET,POST,COOKIE) Hàmsẽkiểmtracácdữliệuthuộc loạitrênvàkhipháthiệncócácdấu ‘ (singlequote), ” (double quote), \ (backslash) thìsẽtựđộngthêmvàodấu \ (backslash) ngaytrướcnó: