Lompat ke konten Lompat ke sidebar Lompat ke footer

Mengatasi Serangan SQL INJECTION


hello hello :) welcome back to Elite066

untuk kesempatan kali ini kita akan sedikit membahas cara atau tutorial CARA MENGATASI SERANGAN "SQL INECTION"

SQL Injection adalah jenis aksi hacking komputer seseorang dengan menyerang basis data atau database sebuah system web yang tidak di proteksi secara baik oleh suatu website tersebut.
cara yang di gunakan seorang ATTACKERS cukup sederhana yaitu dengan menambahakan "QUERY" pada field input ataupun URL.
Naaah karena sederhananya teknik tersebut banyak programmer mengabaikan hal tersebut.


MENGENAL CARA KERJA SQL INJECTION

pada umumnya sintak SQL yang sering dipakai
pada saat pembuatan developing atau saat pembuatan sebuah aplikasi sintal perintah DML(Data Manipulation Language) yakni INSERT,UPDATE dan DELETE.
sebagai contohnya misal kita punya sebuah web dengan URL 



perintah untuk menampilanlan record skema di atas adalah seperti ini


maka penulisan sintak pada php akan menjadi seperti ini


pada proses eksekusi normal sintak tersebut,database server akan memberikan balikan parameter sesuai yang parameter kirimkan.
namun bila kita memodifika parameter tersebut melalui URL dengan sebuah karakter khusus yaitu single quote (') seperti ini contohnya


maka perintah query tersebut tidak dapat membalikan dan hanya meninggalkan pesan error


karena di balik layar query SQL adalah seperti ini


dan inilah sebuah celah dalam web yang mudah untuk di eksploitasi dengan metode SQL Injection.
kita bisa membuat script ANTI SQL Injection memanfaatkan melalui  bawaan php yaitu dengan mysql_real_escape atau mysql_real_escape_string .


selain beberapa tips sederhana di atas,ada beberapa tips lagi untuk mengamankan dari serangan SQL Injection berikut imi adalah beberapa tipsnya :

1.batasi panjang kode box(jika memungkinkan),dengan cara membatasinya di program kode.
jadi craker pemula akan kebingungan sejenak melihat input box tidak bisa perintah dengan panjang.

2.filter input yang di masukan oleh user,terutama pengguna tanda kutip tunggal (input validation)

3.sembunyikan atau matikan pesan pesan error yang keluar dari SQL server yang berjalan.

4.matikan fitur sederhana seperti STORED PROCEDURES,EXTENDED STORED PROCEDURES(jika memungkinkan)

5.ubah "STARUP and RUN SQL SERVER" menggunakan low privilege user di SQL Server Security tab.

ANTISIPASI DI ATAS BIASANYA DI JALANKAN OLEH SEORANG ATTCKER DENGAN " BSQL HACKER" DAN "HVIJ"

naaah itulah tips untuk mengatasi serangan seorang dengan menggunakan SQL/HVIJ 



























Posting Komentar untuk "Mengatasi Serangan SQL INJECTION"

X
Berlangganan

Dapatkan pemberitahuan melalui email setiap ada artikel baru. Gratis!

close