Cara Menutup Bug SQL Injection


Assalamualaikum Wr.Wb
Kembali lagi bersama saya InD00R.4RT terGans😂
Kali Ini saya akan Membahas Tentang Bagaimana CARA MENUTUP BUG SQL INJECTION.
Ada beberapa tools yang yang biasanya digunakan untuk melakukan SQL Injection, misalnya :
  1. SQL Map
SQL Map adalah tools opensource yang mendeteksi dan melakukan exploit pada bug SQL injection secara otomatis. dengan melakukan serangan SQL injection seorang attacker dapat mengambil alih serta memanipulasi sebuah database di dalam sebuah server.
  1. Havij
Havij adalah alat untuk melakukan SQL Injection yang menguji penetrasi untuk menemukan dan mengeksploitasi kerentanan SQL Injection pada suatu halaman web.

Contoh script yang vuln terhadap SQLi:

<?php include "admin/config.php"; $id_anu = $_GET['id_anu']; $result = mysql_query("SELECT * FROM anu where id_anu ='$id_anu' ");
while($row = mysql_fetch_array($result)){ ?>

Di source code diatas terlihat tidak adanya filter untuk karakter seperti ('), (-), (--) sehingga bisa disisipi dengan perintah SQLi. Lalu, bagaimana cara menutup bug tersebut? Kali ini saya akan menggunakan easy method untuk menutup bug tersebut.


  1. Memberi filter pada karakter yang akan dimasukkan ke dalam query. Kita halau karakter seperti (-) terlebih dahulu.
if($id_anu < 0) {
echo "Patched.";
exit;
}
Definisi logika: Jika nilai $id kurang dari 0, maka akan tampil "Patched." | Mencegah karakter (-).
  1. Memberi perintah is_numeric. 
    if(!is_numeric($id_anu)) {
    echo "Patched.";
    exit;
    }
    Definisi logika: Jika nilai $id bukan golongan dari numeric atau angka, maka akan tampil "Patched."
  2. Memberi fungsi mysql_real_escape_string.
    mysql_real_escape_string adalah fungsi PHP yang digunakan untuk memberi backslash di beberapa kode untuk ditampilkan pada halaman, namun saat menyimpan menuju sql, kode akan tetap normal tanpa ada backslash.
$id_anu = mysql_real_escape_string($_GET['$id_anu']);

Mungkin Sekian Pembahasan nya, Jangan untuk Subscribe, Like, and Share hehehee,
thanks for reading and viewer~

Related Posts:


0 Response to "Cara Menutup Bug SQL Injection"

Post a Comment