Mencegah Sql Injection Pada Web ,Mencegah Sql Injection Pada Web ,Mencegah Sql Injection Pada Web ,Mencegah Sql Injection Pada Web .Siapa yang yang kesal dengan ulah-ulah para hacker yang mampu masuk kedalam web kita dan mampu merubah tampilan seperti biasa yang di kenal dengan nama Deface.Banyak cara yang di lakukan oleh hacker untuk masuk ke dalam admin login sebuah web.Salah satu nya adalah tehknik Sql injection.
Kali ini ane bukan share untuk melakukan penetrasi terhadap sebuah web menggunakan tehnik SQL Injection.Namun ane akan share bagaimana untuk mencegah web kita agar tidak dapat inject menggunakan tehnik ini.Oke silahkan baca ulasan nya :)
Link di atas merupakan contoh id sebuah halaman pada website,biasa nya dapat berupa angka dan huruf atau kata.Nah angka ataupun kata tersebut merupakan id unik artikel yang akan di tampilkan di website .Dengan menambahkan query sql tertentu pada id tersebut yang bisa mengakibatkan munculnya pesan error,dan seorang hacker dapat mendapatkan user dan password.
Pada umumnya, dalam script halaman artikel, contoh: halaman.php, di dalamnya terdapat perintah seperti berikut:
<?php
$id = $_GET['id'];
/* script agar menampilkan halaman dengan id tertentu*/
$id = $_GET['id'];
/* script agar menampilkan halaman dengan id tertentu*/
?>
Perintah $id = $_GET['id']; di atas digunakan agar bisa membaca nilai parameter id untuk menampilkan halaman berdasar dari id tersebut. Teknik casting dapat diterapkan pada scripthalaman.php dengan menambahkan function abs dan int sehingga menjadi:
<?php
$id = abs((int) $_GET['id']);
/* script agar menampilkan halaman dengan id tertentu*/
$id = abs((int) $_GET['id']);
/* script agar menampilkan halaman dengan id tertentu*/
?>
Function int di atas berfungsi untuk menghilangkan query yang disisipkan pada parameter dalam url/link. Sebagai contoh, misalkan Anda memiliki sebuah string id='8 union all select 1,concat(user,0x3a,pass,0x3a,email) from users--. Apabila id ini di-casting ke dalam integer maka akan tetap menghasilkan id=8.Sedangkan function abs berfungsi untuk menjaga agar nilai parameter id adalah bernilai positif
0 komentar:
Posting Komentar
Sebagai Pengunjung yang baik berikanlah komentar anda untuk membantu meningkatkan trafic blog ini.Terima Kasih :)