Register
Login
* ในแลบนี้ 2 จะทำในฝั่งหน้าเว็บเพื่อสาธิตหลักการ
My Profile
* IDOR Fix: ถ้า id ใน URL ไม่ตรงกับผู้ใช้ที่ล็อกอิน → หน้านี้ต้องขึ้น “Access Denied”
SQL Injection Demo (จำลอง)
ลองใส่
เช่น: username: admin' OR '1'='1 , password: อะไรก็ได้
ผลลัพธ์
(จำลอง)
❌ Vulnerable: SELECT * FROM users WHERE username = 'username' AND password = 'password'; ✅ Secure (Parameterized): SELECT * FROM users WHERE username = ? AND password = ?;