.:: Blackc0de Forum ::.
Would you like to react to this message? Create an account in a few clicks or log in to continue.

-=Explore The World From Our Binary=-
 
HomeIndeksLatest imagesPendaftaranLogin

.:: Blackc0de Forum ::. :: Information Technology :: Security
 

 SQL Injection Patching for PHP + MySQL

Go down 
+5
blakesabbath
v0idz_Newbie
nesta
CROZZYE
zer03s
9 posters
PengirimMessage
zer03s
Administrator
Administrator
zer03s


Jumlah posting : 2471
Points : 4119
Reputation : 113
Join date : 13.12.10
Age : 31
Lokasi : /home/root/blackc0de

SQL Injection Patching for PHP + MySQL Empty
PostSubyek: SQL Injection Patching for PHP + MySQL   SQL Injection Patching for PHP + MySQL Icon_minitimeThu Aug 25, 2011 11:01 pm
halo gan blackcoder kali ini ane coba jelasin cara sederhana untuk patch bug SQL Injection Flaw di halaman dinamis PHP + MySQL.

-----------------------------------------

[Pendahuluan]
Halaman dinamis adalah halaman yg isinya bisa berubah-ubah sesuai dengan parameternya. Misalnya index.php?id=1 maka isi dari halaman tersebut akan sesuai dengan parameter (kalau disni id) yang dimasukkan yaitu 1.

Biasanya orang membuat halaman dinamis di PHP menggunakan MySQL untuk bisa koneksi dengan database. Dan terkadang query SQL dalam file php yang bersangkutan tidak dibatasi sehingga memungkinkan seseorang menginjeksi query sql lewat parameter di file php tersebut. Kalau soal sql injection sendiri mungkin bisa liat trit lain yang sudah membahasnya sendiri.

[Bug]
Biasanya halaman dinamis kira-kira seperti ini kodenya untuk membaca parameter dan mengkoneksikannya dengan database.

Code:
$id = $_GET['id'];
    $db_query = mysql_query("SELECT * FROM namadb WHERE i

Karena $id tidak difilter maka seseorang bisa memasukkan query di situ sehingga akhirnya dijalankan oleh mysql_query.

[Patch]
Kita bisa memfilternya. Kira-kira kodenya seperti ini.

Code:
error_reporting(0);
     
          function filtering($id){
            $idf = mysql_real_escape_string($id);
            if (!ctype_digit($idf) || $idf < 0){
                exit;
            } else {
                return $id;
            }
          }

          $id = $_GET['id'];
          $idf = filtering($id);
          $db_query = mysql_query("SELECT * FROM namadb WH

error_reporting(0) berguna agar mysql tiidak mengeluarkan pesan error apabila terjadi error. Selanjutnya function filtering berguna untuk memfilter parameter masukan. Disini digunakan fungsi mysql_real_escape_string. Lalu dicek apabila parameter masukan mengandung karakter selain angka dan mempunyai nilai < 0 (biasanya orang akan me-minuskan parameter dalam melakukan sql injection) maka tidak akan dilanjutkan.

[Penutup]
Masih banyak cara lainnya. Ini hanya salah satu contoh. Sesuaikan saja dengan kode dari situs yang bersangkutan. Apabila ada yang salah mohon dikoreksi. SQL Injection Patching for PHP + MySQL 271371
Kembali Ke Atas Go down
http://zer03s.blog.com/
CROZZYE
Top Nubie
Top Nubie



Jumlah posting : 47
Points : 119
Reputation : 2
Join date : 24.08.11

SQL Injection Patching for PHP + MySQL Empty
PostSubyek: Re: SQL Injection Patching for PHP + MySQL   SQL Injection Patching for PHP + MySQL Icon_minitimeSun Aug 28, 2011 2:11 am
nice share om mimin :jempol1
Kembali Ke Atas Go down
nesta
VIP Member
VIP Member
nesta


Jumlah posting : 810
Points : 896
Reputation : 42
Join date : 04.08.11
Age : 36
Lokasi : depan komputer

SQL Injection Patching for PHP + MySQL Empty
PostSubyek: Re: SQL Injection Patching for PHP + MySQL   SQL Injection Patching for PHP + MySQL Icon_minitimeSun Aug 28, 2011 6:43 am
nice info kang SQL Injection Patching for PHP + MySQL 1513430891
Kembali Ke Atas Go down
http://www.hacker-newbie.org
v0idz_Newbie
Moderator
Moderator
v0idz_Newbie


Jumlah posting : 429
Points : 465
Reputation : 10
Join date : 16.06.11
Age : 30
Lokasi : bawah langit atas tanah

SQL Injection Patching for PHP + MySQL Empty
PostSubyek: Re: SQL Injection Patching for PHP + MySQL   SQL Injection Patching for PHP + MySQL Icon_minitimeSun Aug 28, 2011 3:21 pm
wew, ini yang ane cari om. . . SQL Injection Patching for PHP + MySQL 772168924
thanks om zer03s. . .
ane sikat dolo om. . . :sukro:
Kembali Ke Atas Go down
blakesabbath
NuuBiiTooL
NuuBiiTooL
blakesabbath


Jumlah posting : 8
Points : 10
Reputation : 0
Join date : 05.11.12
Lokasi : rj-45

SQL Injection Patching for PHP + MySQL Empty
PostSubyek: Re: SQL Injection Patching for PHP + MySQL   SQL Injection Patching for PHP + MySQL Icon_minitimeMon Mar 11, 2013 12:07 pm
sikat ahh buat ngamanin web personal SQL Injection Patching for PHP + MySQL 3529815765

thank you kang mimin
Kembali Ke Atas Go down
CyberWild
Moderator
Moderator
CyberWild


Jumlah posting : 1665
Points : 2310
Reputation : 104
Join date : 11.06.11
Age : 43
Lokasi : internet cloud

SQL Injection Patching for PHP + MySQL Empty
PostSubyek: Re: SQL Injection Patching for PHP + MySQL   SQL Injection Patching for PHP + MySQL Icon_minitimeMon Mar 11, 2013 2:44 pm
mantap izin bookmark
Kembali Ke Atas Go down
http://cyberwild.p.ht/
kid_1412
Pro Nubie
Pro Nubie
kid_1412


Jumlah posting : 68
Points : 73
Reputation : 1
Join date : 07.07.11

SQL Injection Patching for PHP + MySQL Empty
PostSubyek: Re: SQL Injection Patching for PHP + MySQL   SQL Injection Patching for PHP + MySQL Icon_minitimeMon Mar 11, 2013 4:11 pm
lumayan buat koleksi... ijin copy y om uzy...
Kembali Ke Atas Go down
robofics
VIP Member
VIP Member
robofics


Jumlah posting : 709
Points : 804
Reputation : 20
Join date : 22.12.11
Lokasi : /dev/null

SQL Injection Patching for PHP + MySQL Empty
PostSubyek: Re: SQL Injection Patching for PHP + MySQL   SQL Injection Patching for PHP + MySQL Icon_minitimeTue Jun 25, 2013 11:56 am
variabelnya dibikin jadi absolute integer jg bisa kan om ?
$id = abs((int)$_GET['id']);

:minta:


Terakhir diubah oleh robofics tanggal Fri Jun 28, 2013 11:54 am, total 1 kali diubah
Kembali Ke Atas Go down
http://robofics.wordpress.com
ocim32
Pro Nubie
Pro Nubie
ocim32


Jumlah posting : 59
Points : 65
Reputation : 2
Join date : 28.01.12

SQL Injection Patching for PHP + MySQL Empty
PostSubyek: Re: SQL Injection Patching for PHP + MySQL   SQL Injection Patching for PHP + MySQL Icon_minitimeTue Jun 25, 2013 4:41 pm
mantab om...
Kembali Ke Atas Go down
robofics
VIP Member
VIP Member
robofics


Jumlah posting : 709
Points : 804
Reputation : 20
Join date : 22.12.11
Lokasi : /dev/null

SQL Injection Patching for PHP + MySQL Empty
PostSubyek: Re: SQL Injection Patching for PHP + MySQL   SQL Injection Patching for PHP + MySQL Icon_minitimeFri Jun 28, 2013 12:10 pm
itu si om z3r0es yg mantab..ane mah nubitol om SQL Injection Patching for PHP + MySQL 1082720249
Kembali Ke Atas Go down
http://robofics.wordpress.com
CyberWild
Moderator
Moderator
CyberWild


Jumlah posting : 1665
Points : 2310
Reputation : 104
Join date : 11.06.11
Age : 43
Lokasi : internet cloud

SQL Injection Patching for PHP + MySQL Empty
PostSubyek: Re: SQL Injection Patching for PHP + MySQL   SQL Injection Patching for PHP + MySQL Icon_minitimeSun Jun 30, 2013 10:19 pm
keren. izin bookmark.
btw ada yg di update nih forum yah?
Kembali Ke Atas Go down
http://cyberwild.p.ht/
Sponsored content





SQL Injection Patching for PHP + MySQL Empty
PostSubyek: Re: SQL Injection Patching for PHP + MySQL   SQL Injection Patching for PHP + MySQL Icon_minitime
Kembali Ke Atas Go down
 
SQL Injection Patching for PHP + MySQL
Kembali Ke Atas 
Halaman 1 dari 1

Permissions in this forum:Anda tidak dapat menjawab topik
.:: Blackc0de Forum ::. :: Information Technology :: Security-
Navigasi: