Mafia BloGGer Sitez

Notification texts go here. Contact Us
Beranda
Hacker

Amankan Web App dari SQL Injection

Amankan Web App dari SQL Injection, Internet, Hacker

Hallo Sobat Mafia Hacker, kali ini saya akan membagikan tentang " Amankan Web App dari SQL Injection " . Tutorial kali ini, saya dapat dari rekan saya si Anggota Binus Hacker yaitu Angga Movic . Ini inovasi yang diperolehnya, dan saya hanya membantu Share postingan dia di Binus Hacker . Selamat Mencoba dan Membaca :)

Saya yakin setiap orang di Dunia ini mahir sekali pemograman , tapi apakah kalian (baca : Defacer) pernah berpikir gimana sang programer yang berada di balik web itu telah menghabiskan banyak waktu untuk membuatnya ?

Maka dari itu disini saya akan sedikit memberi tips untuk para web dev agar sedikit lebih aman dari tangan-tangan " BOCAH " iseng.

Metode sql injection biasanya memanfaatkan url default dari pemanggilan data. eg : ?id=XX
biasanya mereka akan membumbuhi " ' " single quote / kutip 1 pada akhir url, maka kurang lebih seperti ini ?id=XX' ato ?id='XX

Cara lama, tapi cara itu cukup manjur untuk Web dengan Sec standar.
Lalu cara menanganinya bagaimana? Tentu banyak sekali caranya, tapi kali ini saya akan memberikan 1 saja . Silahkan search di Google :)

Caranya :
### Menggunakan mysql escape strings
mysql_real_escape_string()
Contoh penggunaan.
url = index.php?id=XX
Maka gunakan ini sebelum mendefinisikan $id= $_GET['id']; jadi nanti akan menjadi seperti ini
$id= mysql_real_escape_string($_GET['id']);
Jadi saat sang bocah datang dengan petantang petendeng dan nemplokin quote pada akhir url maka mysql akan menghiraukan nya.
cara itu lebih bagus lagi jika di gabungkan dengan cara ini.
========================
if (isset($_GET['teamID'])){
$team = mysql_real_escape_string($_GET['teamID']);
$result = mysql_query("SELECT COUNT(*) as count FROM `nama_tabel` where id='".$team."'");
$row = mysql_fetch_array($result);
if ($row ['count']){
//lakukan pemanggilan perintah jika data (id) tersebut ada di data base
}else {
//bagian ini akan tampil jika data tidak tersedia di database
}
================================

Note Manual caranya disini : http://php.net/manual/en/function.mysql-real-escape-string.php

Semoga Bermanfaat :)

Terima kasih untuk Angga Movic :)
Hi, I'm Yandi Mulyadi. Thank you for knowing me.