Hello Kembali lagi dengan saya AdelwinNL.
Kali ini saya akan memberikan tutorial cara mempatch bug SQL Injection , Sebagian dari kalian mungkin sudah tidak asing atau mengetahui apa itu SQL Injection . tapi sebelum membahas cara patch bug SQL INJECTION alangkah baiknya untuk membaca artikel sebelumnya ya xixixi.
APA ITU SQL Injection??
SQL Injection adalah sebuah teknik yang menyalahgunakan sebuah celah keamanan yang terjadi dalam lapisan basis data sebuah aplikasi. Tidak adanya penanganan terhadap karakter – karakter tanda petik satu ‟ dan juga karakter double minus -- yang menyebabkan suatu aplikasi dapat disisipi dengan perintah SQL.
Contoh script yang vuln akan SQL Injection :
if(isset($_GET['id'])){$id = $conn->real_escape_string($_GET['id']);$query = mysqli_query($conn,"select * from program where id_program = $id") or die($conn->error);
Pada source code diatas jelas terlihat tidak adanya filtering terhadap karakter seperti ('), ("), (-) sehingga bisa disisipi dengan perintah SQLi. Bagaimana Caranya mempatch bug di atas dengan simpel dan mudah.
- * Pada Source code
$id = $conn->real_escape_string($_GET['id']);
Dari source itu memungkin kan untuk meng Inject web yang vuln SQL Injection dan tidak ada filtering terhadap karakter seperti ('), ("), (-).
- * Kita rubah source codenya Menjadi di bawah ini .
$id = abs((int)$_GET['id']);
- * Dengan menambahkan source code [[ abs () , (int) ]] maka sudah memfilter karakter ('), ("), (-).
Fungsinya:
INT() = Pembulatan bilangan, atau dengan kata lain penghapusan desimal atau koma dari sebuah bilangan.
ABS() = Fungsi ini akan mengubah bilangan menjadi absolute, artinya ABS() akan menghapus atau merubah bilangan negatif menjadi positif.
Oke sekian dulu dari saya
Jika ada kesalahan silahkan berkomentar
Di bawah!!!
Ingat kami bukan orang hebat/pro
Kami juga sering gagal
Kegagalan itulah yang membuat kami berhasil
Source: http://adelwindx.blogspot.com
Source: http://adelwindx.blogspot.com
Tags
SQL