|
| Pacth untuk SQL Injection | |
|
+4v0idz_Newbie zer0cool zer03s Black.exe 8 posters | Pengirim | Message |
---|
Black.exe Global Mod
Jumlah posting : 844 Points : 1491 Reputation : 44 Join date : 08.01.11 Age : 35
| Subyek: Pacth untuk SQL Injection Tue May 10, 2011 11:48 pm | |
| SQL Injection adalah salah satu jenis penyerangan yang mengijinkan user tidak sah(penyerang)untuk mengakses database server. Pada dasarnya,serangan ini difasilitasi oleh kode program anda sendiri. teknik nya,penyerang mencoba memasukkan query (melalui field atau URL) yang akan menyebabkan database server men-generate query SQL yang tidak valid. Pada kenyataan nya,SQL injection terbukti merupakan salah satu teknik terbaik yang sering melumpuhkan sasarannya. Begitu penyerang berhasil menguasai kendali dataase server,ia bisa melakukan apa saja,seperti memodifikasi atau bahkan menghapus semua data yang ada. bagaimana pun juga ,ini bisa dicegah jika kode program anda melakukan validasi yang baik. Sebenarnya apa bila anda teliti,teknik SQL injection sangat sederhana sekali. Akan tetapi ,justru yang sering diabaikan oleh para programer,entah itu tidak tahu atau lupa. Berikut ini beberapa contoh teknik SQL injection,implementasi,dan cara menggagalkan nya. Single SQL Injection walaupun penyerang awalnya mencoba memasukan query berupa pernyataan SQL,akan tetapi bukan sembarang query. Dalam hal ini,penyerang cukup memiliki pengatahuan mengenai SQL,sebagai contoh permulaan (maklumlah saya masih newbie anda memiliki kode seperti ini. - Code:
-
$match = false; if (isset($_POST['submit'])) { $nama = $_POST['nama']; $pass = $_POST['pass']; $sql = “SELECT nama, password FROM user WHERE nama=’$nama’ AND password=’$pass’”; $res = mysqli_query($db, $sql); // jika res berhasil,dan row yang // dikembalikan=1, set $match=true if ($res && mysqli_query_rows($res) == 1) { $match = true ; mysqli_free_result($res); } if ($match === true) { echo ‘account match’; } else { echo ‘invalid account’; } } kode program diatas memang kelihatan melakukan verifikasi data, tetapi sebenarnya sangat rapuh,penyerang bisa menggnakan query-query seperti dibawah ini,untuk melakukan akses secara tidak sah - Code:
-
// mengisi field nama saja,# adalah komentar, // yang akan mengabaikan baris setelahnya admin’# - Code:
-
// mengisi nama field saja // mengekstrak data kelokasi tertentu ‘OR’ 1=1 INTO DUMPFILE ‘/path/ke_lokasi/file.txt ‘# ‘OR’ 1=1 INTO OUTFILE ‘/path/ke_lokasi/file.txt ‘# Bagaimapun juga,contoh contoh SQL injection diatas adalah contoh yang umum. Adapun untuk mencegah nya menggunakan fungsi mysql_real_escape_string () atau addslashes(), - Code:
-
$nama = myMacig($_POST['nama']}; $pass = myMacig($_POST['pass']}; Multiple SQL injection Contoh SQL injection lainnya adalah dengan memberikan multiple query,seperti berikut: - Code:
-
// $id dari method GET/POST $sql = “SELECT * FROM buku WHERE kode=’{$id}’ “; //mengahapus isi table 0; DELETE FROM user // membuat account baru 0; GRANT ALL ON *.* TO ‘xxx@%’ Dalam kasus ini,macig quote akan mengabaikan tanda titik koma,ini sangat membahayakan jika menggunakan SQLite atau postgreSQL. Adapun solusi nya adalah menggunakan operator casting untuk memastikan bahwa id harus integer. - Code:
-
//Simulasi nilai $_POST['id'] 0; DELETE FROM user $id = (int) myMacig($_POST['id']); apabila anda ingin memeriksa apakah input mengandung karakter tertentu,gunakan fungsi strpos(). - Code:
-
$nama = myMacig ($_POST ['id']); // periksa apakah karakter ; terdapat // di variabel $nama. if (strpos($nama, ‘;’ die (‘Naughty Naughty, Very Naughty…’); semoga bermanfaat | |
| | | zer03s Administrator
Jumlah posting : 2471 Points : 4119 Reputation : 113 Join date : 13.12.10 Age : 32 Lokasi : /home/root/blackc0de
| Subyek: Re: Pacth untuk SQL Injection Thu Jun 16, 2011 9:24 pm | |
| sangat berguna bang black,,ane bookmark yak.... cek kulkas dah | |
| | | zer0cool Newbie - Hack
Jumlah posting : 363 Points : 807 Reputation : 24 Join date : 22.06.11
| Subyek: Re: Pacth untuk SQL Injection Mon Jun 27, 2011 2:00 am | |
| ijin nyimak om black :mbelajar: | |
| | | v0idz_Newbie Moderator
Jumlah posting : 429 Points : 465 Reputation : 10 Join date : 16.06.11 Age : 31 Lokasi : bawah langit atas tanah
| | | | N3TRUZ Global Mod
Jumlah posting : 491 Points : 552 Reputation : 16 Join date : 03.07.11 Lokasi : underware
| Subyek: Re: Pacth untuk SQL Injection Sun Jul 03, 2011 12:46 pm | |
| ane bingung | |
| | | BumiayuKita Administrator
Jumlah posting : 2456 Points : 3020 Reputation : 85 Join date : 06.02.11 Age : 34 Lokasi : bumiayu
| | | | Banditcode Top Nubie
Jumlah posting : 42 Points : 71 Reputation : 2 Join date : 12.08.11
| Subyek: Re: Pacth untuk SQL Injection Sat Aug 13, 2011 6:39 pm | |
| mantaappp oomm | |
| | | gatraperdana VIP Member
Jumlah posting : 223 Points : 277 Reputation : 8 Join date : 06.07.11
| Subyek: Re: Pacth untuk SQL Injection Wed Aug 17, 2011 4:44 pm | |
| saya masih | |
| | | Sponsored content
| Subyek: Re: Pacth untuk SQL Injection | |
| |
| | | | Pacth untuk SQL Injection | |
|
Similar topics | |
|
| Permissions in this forum: | Anda tidak dapat menjawab topik
| |
| |
| Latest topics | » Baktrack TutorialSun Jul 28, 2019 2:26 am by kenta » aplikasi gambas pada linuxTue Apr 30, 2019 10:28 am by kenta » beli linux ubuntu terbaru di surabayaSun Mar 31, 2019 10:08 am by kenta » desain robotFri Jan 19, 2018 1:25 pm by kenta » membuat robot tidak susahFri Jan 19, 2018 1:15 pm by kenta » Salam.. Salam.. Salam..Thu Nov 30, 2017 7:42 am by BumiayuKita» teknologi penyaring udara dan airWed Oct 04, 2017 8:41 am by kenta » [CloudMILD] VPS SSD IIX 2X RAM + Xtra SSD SpaceMon Jul 24, 2017 10:46 am by BumiayuKita» cara menutup akses dari situs negatifTue Apr 04, 2017 1:04 pm by kenta » Aplikasi Google TalkMon Mar 20, 2017 3:00 am by BumiayuKita» Driver buat Webcam PC ?? merknya M-Tech,, Fri Jan 30, 2015 8:51 pm by aelgrim » Portal Blog,,,,,Sun Dec 14, 2014 12:38 am by robofics» Appteknodroid - Seputar Dunia AndroidMon Nov 10, 2014 11:32 pm by Pr0phecy » Software animasi yang agan2 pakeTue Sep 30, 2014 1:11 pm by X_campus » INDO BILLING 6.70 + KEYSun Sep 21, 2014 2:17 pm by abdul halim |
Statistics | Total 12294 user terdaftar User terdaftar terakhir adalah Adlygans
Total 31710 kiriman artikel dari user in 5734 subjects
|
Banner Forum | Dukung forum Blackc0de dengan memasang bannernya.
|
Social Networking |
|
|