ya walaupun ini cara lama,mungkin ada yang belum tau :D
Secara singkat SQL injection adalah menambahkan perintah SQL Query melalui dengan tujuan untuk memodifikasi sql query yang sudah ada atau menciptakan SQL Query baru.
Sebagai contoh :
saya mempunyai SQL Query untuk login program yang saya buat dengan VB.NET seperti ini
select username,password from admin where username=' " & txt_username.text & " ' and password=' " & txt_password.text & " '
tapi jika pengguna program menginputkan username 'OR '1'='1 dan password 'OR '1'='1 lalu
setelah program di jalankan maka SQL Query kita akan menjadi seperti ini :
select username,password from admin where username=' ' or '1'='1' and password=' ' or '1'='1'maka ini akan menghasilkan nilai TRUE, sehingga user (anonymous) berhasil login ke aplikasi yang kita buat tanpa perlu mengetahui username atau password yang sebenarnya
Tapi, ada beberapa cara yang dapat digunakan untuk mengatasi agar hal itu tidak terjadi
1. Menghilangkan karakter kutip 1 (') sebagai contoh replace(txt_username.text," ' ","")
sebagai contoh :
select username,password from admin where username=' " & Replace(txt_username.Text, " ' ", "") & " ' and password=' " & replace(txt_password.Text," ' ","") & " '2. Membatasi MaxLength Textbox sesuai dengan Lenght Field yang ada di database dengan itu maka user tidak bisa mengisi Textbox secara bebas
cara diatas adalah beberapa cara yang dapat digunakan dari sekumpulan cara yang dapat digunakan untuk membuat login aman dari SQL Injection
cara diatas juga berlaku untuk bahasa pemrograman lain seperti PHP,C#,VB.NET dan lain - lain
kita hanya perlu menerapkan logika yang sama dengan bahasa pemrograman yang kita gunakan
sekian postingan saya malam ini semoga dapat menambah wawasan kita semua
0 komentar:
Post a Comment