บทที่ 16: Security Best Practices

“บ้านที่แข็งแรงยังต้องมีระบบอลาร์มและกล้องวงจรปิด”

The Blueprint (พิมพ์เขียว)

แม้จะมี Authentication แล้ว ยังมีภัยคุกคามอีกมาก:

• Hackers พยายามเจาะระบบ
• Bots พยายาม Spam
• ช่องโหว่ ในโค้ดของเรา

Security = ระบบป้องกันขโมย

The Construction Site (หน้างานก่อสร้าง)

🛡️ ภัยคุกคามหลัก (OWASP Top 10)

ภัยคุกคาม	อันตราย	ป้องกัน
SQL Injection	แฮก Database	Parameterized Query
XSS	ขโมย Cookie	Sanitize HTML
CSRF	หลอกให้ทำ action	CSRF Token

💉 SQL Injection

// ❌ อันตราย!
const query = `SELECT * FROM users WHERE id = ${userId}`;

// ✅ ใช้ Parameterized Query
const query = `SELECT * FROM users WHERE id = $1`;
await db.query(query, [userId]);

🖥️ XSS (Cross-Site Scripting)

// ❌ อันตราย!
<div dangerouslySetInnerHTML={{ __html: userInput }} />

// ✅ Sanitize HTML
import DOMPurify from 'dompurify';
<div dangerouslySetInnerHTML={{ __html: DOMPurify.sanitize(userInput) }} />

Material Selection (เลือกสเปกวัสดุ)

🚦 Rate Limiting

import rateLimit from 'express-rate-limit';

const limiter = rateLimit({
  windowMs: 15 * 60 * 1000, // 15 นาที
  max: 100, // สูงสุด 100 requests
});

app.use('/api/', limiter);

✅ Input Validation (Zod)

import { z } from 'zod';

const UserSchema = z.object({
  email: z.string().email('อีเมลไม่ถูกต้อง'),
  password: z.string()
    .min(8, 'ต้องมีอย่างน้อย 8 ตัว')
    .regex(/[A-Z]/, 'ต้องมีตัวพิมพ์ใหญ่'),
});

🔑 Security Headers (Helmet)

import helmet from 'helmet';
app.use(helmet());

Architect’s Note (บันทึกสถาปนิก)

⚠️ Checklist ความปลอดภัย

• ✅ HTTPS everywhere
• ✅ Input validation ทุก endpoint
• ✅ Parameterized queries
• ✅ CSRF protection
• ✅ Rate limiting
• ✅ Security headers

💡 Best Practices

1. Principle of Least Privilege — ให้สิทธิ์เท่าที่จำเป็น
2. Defense in Depth — หลายชั้นความปลอดภัย
3. Keep Dependencies Updated — npm audit