Konten [Tampil]
hello hello :) welcome back to Elite066
untuk kesempatan kali ini kita akan sedikit membahas cara atau tutorial CARA MENGATASI SERANGAN "SQL INECTION"
SQL Injection adalah jenis aksi hacking komputer seseorang dengan menyerang basis data atau database sebuah system web yang tidak di proteksi secara baik oleh suatu website tersebut.
cara yang di gunakan seorang ATTACKERS cukup sederhana yaitu dengan menambahakan "QUERY" pada field input ataupun URL.
Naaah karena sederhananya teknik tersebut banyak programmer mengabaikan hal tersebut.
baca juga : cara menemukan celah web dengan tools devloit
MENGENAL CARA KERJA SQL INJECTION
pada umumnya sintak SQL yang sering dipakai
pada saat pembuatan developing atau saat pembuatan sebuah aplikasi sintal perintah DML(Data Manipulation Language) yakni INSERT,UPDATE dan DELETE.
sebagai contohnya misal kita punya sebuah web dengan URL
perintah untuk menampilanlan record skema di atas adalah seperti ini
maka penulisan sintak pada php akan menjadi seperti ini
pada proses eksekusi normal sintak tersebut,database server akan memberikan balikan parameter sesuai yang parameter kirimkan.
namun bila kita memodifika parameter tersebut melalui URL dengan sebuah karakter khusus yaitu single quote (') seperti ini contohnya
maka perintah query tersebut tidak dapat membalikan dan hanya meninggalkan pesan error
karena di balik layar query SQL adalah seperti ini
dan inilah sebuah celah dalam web yang mudah untuk di eksploitasi dengan metode SQL Injection.
kita bisa membuat script ANTI SQL Injection memanfaatkan melalui bawaan php yaitu dengan mysql_real_escape atau mysql_real_escape_string .
selain beberapa tips sederhana di atas,ada beberapa tips lagi untuk mengamankan dari serangan SQL Injection berikut imi adalah beberapa tipsnya :
1.batasi panjang kode box(jika memungkinkan),dengan cara membatasinya di program kode.
jadi craker pemula akan kebingungan sejenak melihat input box tidak bisa perintah dengan panjang.
2.filter input yang di masukan oleh user,terutama pengguna tanda kutip tunggal (input validation)
3.sembunyikan atau matikan pesan pesan error yang keluar dari SQL server yang berjalan.
4.matikan fitur sederhana seperti STORED PROCEDURES,EXTENDED STORED PROCEDURES(jika memungkinkan)
5.ubah "STARUP and RUN SQL SERVER" menggunakan low privilege user di SQL Server Security tab.
ANTISIPASI DI ATAS BIASANYA DI JALANKAN OLEH SEORANG ATTCKER DENGAN " BSQL HACKER" DAN "HVIJ"
naaah itulah tips untuk mengatasi serangan seorang dengan menggunakan SQL/HVIJ
Baca Juga :
