|
| SQL Injection Patching for PHP + MySQL | |
|
+5blakesabbath v0idz_Newbie nesta CROZZYE zer03s 9 posters | Pengirim | Message |
---|
zer03s Administrator
Jumlah posting : 2471 Points : 4119 Reputation : 113 Join date : 13.12.10 Age : 32 Lokasi : /home/root/blackc0de
| Subyek: SQL Injection Patching for PHP + MySQL Thu Aug 25, 2011 11:01 pm | |
| halo gan blackcoder kali ini ane coba jelasin cara sederhana untuk patch bug SQL Injection Flaw di halaman dinamis PHP + MySQL. ----------------------------------------- [Pendahuluan] Halaman dinamis adalah halaman yg isinya bisa berubah-ubah sesuai dengan parameternya. Misalnya index.php?id=1 maka isi dari halaman tersebut akan sesuai dengan parameter (kalau disni id) yang dimasukkan yaitu 1. Biasanya orang membuat halaman dinamis di PHP menggunakan MySQL untuk bisa koneksi dengan database. Dan terkadang query SQL dalam file php yang bersangkutan tidak dibatasi sehingga memungkinkan seseorang menginjeksi query sql lewat parameter di file php tersebut. Kalau soal sql injection sendiri mungkin bisa liat trit lain yang sudah membahasnya sendiri. [Bug] Biasanya halaman dinamis kira-kira seperti ini kodenya untuk membaca parameter dan mengkoneksikannya dengan database. - Code:
-
$id = $_GET['id']; $db_query = mysql_query("SELECT * FROM namadb WHERE i Karena $id tidak difilter maka seseorang bisa memasukkan query di situ sehingga akhirnya dijalankan oleh mysql_query. [Patch] Kita bisa memfilternya. Kira-kira kodenya seperti ini. - Code:
-
error_reporting(0); function filtering($id){ $idf = mysql_real_escape_string($id); if (!ctype_digit($idf) || $idf < 0){ exit; } else { return $id; } }
$id = $_GET['id']; $idf = filtering($id); $db_query = mysql_query("SELECT * FROM namadb WH error_reporting(0) berguna agar mysql tiidak mengeluarkan pesan error apabila terjadi error. Selanjutnya function filtering berguna untuk memfilter parameter masukan. Disini digunakan fungsi mysql_real_escape_string. Lalu dicek apabila parameter masukan mengandung karakter selain angka dan mempunyai nilai < 0 (biasanya orang akan me-minuskan parameter dalam melakukan sql injection) maka tidak akan dilanjutkan. [Penutup] Masih banyak cara lainnya. Ini hanya salah satu contoh. Sesuaikan saja dengan kode dari situs yang bersangkutan. Apabila ada yang salah mohon dikoreksi. | |
| | | CROZZYE Top Nubie
Jumlah posting : 47 Points : 119 Reputation : 2 Join date : 24.08.11
| Subyek: Re: SQL Injection Patching for PHP + MySQL Sun Aug 28, 2011 2:11 am | |
| nice share om mimin | |
| | | nesta VIP Member
Jumlah posting : 810 Points : 896 Reputation : 42 Join date : 04.08.11 Age : 37 Lokasi : depan komputer
| Subyek: Re: SQL Injection Patching for PHP + MySQL Sun Aug 28, 2011 6:43 am | |
| nice info kang | |
| | | v0idz_Newbie Moderator
Jumlah posting : 429 Points : 465 Reputation : 10 Join date : 16.06.11 Age : 31 Lokasi : bawah langit atas tanah
| Subyek: Re: SQL Injection Patching for PHP + MySQL Sun Aug 28, 2011 3:21 pm | |
| wew, ini yang ane cari om. . . thanks om zer03s. . . ane sikat dolo om. . . | |
| | | blakesabbath NuuBiiTooL
Jumlah posting : 8 Points : 10 Reputation : 0 Join date : 05.11.12 Lokasi : rj-45
| Subyek: Re: SQL Injection Patching for PHP + MySQL Mon Mar 11, 2013 12:07 pm | |
| sikat ahh buat ngamanin web personal thank you kang mimin | |
| | | CyberWild Moderator
Jumlah posting : 1665 Points : 2310 Reputation : 104 Join date : 11.06.11 Age : 43 Lokasi : internet cloud
| Subyek: Re: SQL Injection Patching for PHP + MySQL Mon Mar 11, 2013 2:44 pm | |
| | |
| | | kid_1412 Pro Nubie
Jumlah posting : 68 Points : 73 Reputation : 1 Join date : 07.07.11
| Subyek: Re: SQL Injection Patching for PHP + MySQL Mon Mar 11, 2013 4:11 pm | |
| lumayan buat koleksi... ijin copy y om uzy... | |
| | | robofics VIP Member
Jumlah posting : 709 Points : 804 Reputation : 20 Join date : 22.12.11 Lokasi : /dev/null
| Subyek: Re: SQL Injection Patching for PHP + MySQL Tue Jun 25, 2013 11:56 am | |
| variabelnya dibikin jadi absolute integer jg bisa kan om ? $id = abs((int)$_GET['id']);
Terakhir diubah oleh robofics tanggal Fri Jun 28, 2013 11:54 am, total 1 kali diubah | |
| | | ocim32 Pro Nubie
Jumlah posting : 59 Points : 65 Reputation : 2 Join date : 28.01.12
| Subyek: Re: SQL Injection Patching for PHP + MySQL Tue Jun 25, 2013 4:41 pm | |
| | |
| | | robofics VIP Member
Jumlah posting : 709 Points : 804 Reputation : 20 Join date : 22.12.11 Lokasi : /dev/null
| Subyek: Re: SQL Injection Patching for PHP + MySQL Fri Jun 28, 2013 12:10 pm | |
| itu si om z3r0es yg mantab..ane mah nubitol om | |
| | | CyberWild Moderator
Jumlah posting : 1665 Points : 2310 Reputation : 104 Join date : 11.06.11 Age : 43 Lokasi : internet cloud
| Subyek: Re: SQL Injection Patching for PHP + MySQL Sun Jun 30, 2013 10:19 pm | |
| keren. izin bookmark. btw ada yg di update nih forum yah? | |
| | | Sponsored content
| Subyek: Re: SQL Injection Patching for PHP + MySQL | |
| |
| | | | SQL Injection Patching for PHP + MySQL | |
|
Similar topics | |
|
| Permissions in this forum: | Anda tidak dapat menjawab topik
| |
| |
| Latest topics | » Baktrack TutorialSun Jul 28, 2019 2:26 am by kenta » aplikasi gambas pada linuxTue Apr 30, 2019 10:28 am by kenta » beli linux ubuntu terbaru di surabayaSun Mar 31, 2019 10:08 am by kenta » desain robotFri Jan 19, 2018 1:25 pm by kenta » membuat robot tidak susahFri Jan 19, 2018 1:15 pm by kenta » Salam.. Salam.. Salam..Thu Nov 30, 2017 7:42 am by BumiayuKita» teknologi penyaring udara dan airWed Oct 04, 2017 8:41 am by kenta » [CloudMILD] VPS SSD IIX 2X RAM + Xtra SSD SpaceMon Jul 24, 2017 10:46 am by BumiayuKita» cara menutup akses dari situs negatifTue Apr 04, 2017 1:04 pm by kenta » Aplikasi Google TalkMon Mar 20, 2017 3:00 am by BumiayuKita» Driver buat Webcam PC ?? merknya M-Tech,, Fri Jan 30, 2015 8:51 pm by aelgrim » Portal Blog,,,,,Sun Dec 14, 2014 12:38 am by robofics» Appteknodroid - Seputar Dunia AndroidMon Nov 10, 2014 11:32 pm by Pr0phecy » Software animasi yang agan2 pakeTue Sep 30, 2014 1:11 pm by X_campus » INDO BILLING 6.70 + KEYSun Sep 21, 2014 2:17 pm by abdul halim |
Statistics | Total 12294 user terdaftar User terdaftar terakhir adalah Adlygans
Total 31710 kiriman artikel dari user in 5734 subjects
|
Banner Forum | Dukung forum Blackc0de dengan memasang bannernya.
|
Social Networking |
|
|