Apa itu SQL Injection…???

SQL injection adalah suatu teknik yang dapat dilakukan oleh cracker untuk dapat masuk ke dalam system administrator tanpa mengetahui username dan password administrator terlebih dahulu dengan memanfaatkan perintah-perintah SQL yang dimasukkan kedalam database mesin server. Sebab terjadinya adalah tidak adanya penanganan terhadap karakter – karakter tanda petik satu ( ‘ )dan juga karakter double minus ( — )yang menyebabkan suatu aplikasi dapat disisipi dengan perintah SQL. Karakteristiknya adalah teknik serangan ini memungkinkan seseorang dapat login kedalam sistem tanpa harus memiliki account, selain itu SQL injection juga memungkinkan seseorang merubah, menghapus, maupun menambahkan data–data yang berada didalam database. Bahkan yang lebih berbahaya lagi yaitu mematikan database itu sendiri, sehingga tidak bisa memberi layanan kepada web server.
Meminimalkan SQL Injection ada beberapa cara,diantaranya :
  • Warning atau Error pada query tidak perlu ditampilkan. Lebih baik dibuat script yang akan langsung memfeedback log error/warning ke developer/adminnya jika terjadi kesalahan query, sementara di end-user bisa ditampilkan, misal error 404
  • Hendaknya melakukan validasi terhadap URL dan memfilter bentuk request yang menjurus terhadap tindakan injeksi
  • Jangan pernah dumping database ke direktori yang tidak restrict permissionnya / publik. Dan lagi penamaan terhadap file hasil dumping database diusahakan tidak umum seperti pemberian tanggal-bulan-tahun (misal : 13071984.sql)
  • Batasi panjang input box.

Itu saja yang bisa saya bagikan,semoga bermanfaat bagi semua.

Batasi panjang input box (jika memungkinkan).

Iklan

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: