Secara singkat SQL injection merupakan sebuah aksi untuk memodifikasi perintah SQL ke dalam database. Sehingga orang yang melakukan aksi tersebut bisa manipulasi isi database sesuai yang mereka inginkan, bahkan bisa menghapus seluruh isi database. Ini merupakan salah satu mimpi buruk bagi saya apabila website buatan saya terkena serangan SQL Injection dan banyak data yang di acak-acak.
Pada tutorial ini saya akan berbagi sedikit tips atau cara mencegah serangan SQL Injection pada website yang menggunakan bahasa pemrograman PHP, yaitu menggunakan function mysqli_real_escape_string(). Fungsi mysqli_real_escape_string() berfungsi ketika string yang diinputkan masuk ke query database, maka string yang sudah melewati filter ini tidak dijalankan sebagai perintah query (hanya string bisa).
SQL Injection Menggunakan Hackbar - written by pembasmi merda, published at 17.50, categorized as Hack. Cara Hack Wordpress ( SQL Injection+Reset Password ) 2014. Hai sobat Cyber semuanya.pada postingan kali ini saya akan share Tutorial Cara instal Ubuntu di windows.maksudnya dual boot adalah ada d. [Tutorial] SQL Injection menggunakan Havij Vers 1.10 11.20 No comments Havij Vers 1.10, sebuah tool yang powerfull untuk mendapatkan akses admin dengan teknik sql injection. Untuk informasi dan download tool ini bisa anda temukan di thread dibawah ini (Hey r3dm0v3. U coded an awesome tool).
Supaya lebih paham akan saya tunjukkan sebuah contoh, contoh kode ini saya ambil dari seri tutorial CRUD PHP sederhana. Yang dalam contoh tersebut belum ada filter mysqli_real_escape_string(). Sekarang saya masuk ke halaman tambah data, dan memasukkan nama yang memiliki tanda kutip satu, yaitu Lukm’an seperti gambar dibawah. Perlu diingat tanda kutip merupakan karakter spesial, atau karakter yang memiliki arti (fungsi) dalam bahasa pemrograman dan perintah query sql.
Maka akan menampilkan tulisan tambah data gagal.
Kemudian saya akan edit sebuah data yang sebelumnya sudah ditambahkan. Kemudian pada form edit masukkan sebuah data yang memiliki tanda kutip. Pada contoh ini saya memasukkan data dengan nama Wind’y.
Dan kemudian saya klik Edit Data maka akan menampilkan error seperti gambar dibawah.
Dari beberapa contoh diatas, berarti kode yang saya tujukan tersebut memiliki celah keamanan SQL injection. Dan salah satu cara untuk mencegahnya yaitu menggunakan function mysqli_real_escape_string(), yang akan kita pelajari di tutorial ini.
Cara Mencegah SQL Injection PHP
Sekarang langsung saja ke inti dari tutorial ini yaitu cara mencegah SQL injection PHP menggunakan function mysqli_real_escape_string(). Langsung saja saya edit kode program yang saya demokan diatas dengan menambahkan function mysqli_real_escape_string() di setiap kode PHP yang menerima data input. Dan apabila kamu ingin download contoh kode yang akan saya edit ini silakan download di link ini.
Biasanya kode PHP yang menerima data dari form yang memiliki method post, maka diterima dengan kode $nama = $_POST[‘nama’];. Nah sebelum kita memasukkan data $_POST[‘nama’] kedalam variabel $nama, kita filter dulu menggunakan function mysqli_real_escape_string(). Function mysqli_real_escape_string() memerlukan 2 buah argumen, argumen pertama yaitu variabel yang menyimpan koneksi database, dan argumen kedua yaitu data yang ingin kita filter, pada contoh ini yaitu data $_POST[‘nama’];.
Jadi pada kode php tambah data yang sebelum di edit seperti ini :
2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 | require_once('koneksi.php'); if(isset($_POST['submit'])){ $nama=mysqli_real_escape_string($konek,$_POST['nama']); $alamat=mysqli_real_escape_string($konek,$_POST['alamat']); $jenis_kelamin=mysqli_real_escape_string($konek,$_POST['jenis_kelamin']); // query insert data ke database dalam tabel anggota $query='INSERT INTO anggota (nama, alamat, jenis_kelamin) values('$nama', '$alamat', '$jenis_kelamin')'; header('Location: index.php'); echo'Tambah data gagal'; } mysqli_close($konek);// menutup koneksi ke database <html> <title>CRUD PHP Sederhana</title> <body> <form action='tambah.php'method='post'> Alamat:<textarea name='alamat'rows='3'cols='20'></textarea><br><br> Jenis Kelamin:<input type='radio'name='jenis_kelamin'value='Laki-laki'>Laki-laki <input type='radio'name='jenis_kelamin'value='Perempuan'>Perempuan<br><br> <input type='submit'name='submit'value='Tambah Data'> </body> |
Lakukan yang sama di setiap input dari form dan url yang parameternya digunakan untuk query database.
Dan setelah saya edit, saya coba kembali memasukkan data yang memiliki tanda kutip, maka kode yang ditulis tetap berjalan sesuai yang kita inginkan.
Cara Hack Menggunakan Sql Injection Tutorial
Contoh 1, tambah data dengan nama Lukm’an :
Sql Injection Tutorial Pdf
Hasil :
Contoh 2, edit data Windy menjadi Wind’y :
Hasil :
Apabila kamu ingin melihat atau download seluruh kode setelah diedit, kamu dapat download file tersebut di link ini.
Cara Hack Menggunakan Sql Injection Tutorial 2017
Saya rasa untuk penjelasan cara mencegah SQL injection PHP menggunakan function mysqli_real_escape_string ini cukup jelas. Apabila kamu ingin mengetahui function ini lebih dalam silakan lihat di website resmi PHP, melalui link ini. Mungkin dari tutorial ini masih terdapat celah SQL, karena saya juga kurang dalam tentang web security. Intinya disini saya hanya ingin berbagi pengalaman saja. Dan bagi kamu yang memiliki tips lain seputar pencegahan serangan SQL injection, kamu dapat berbagi caranya pada kolom komentar dibawah. Selain itu bagi kamu yang memiliki pertanyaan seputar tutorial ini, silakan tanyakan pada kolom komentar dibawah.