PAtch Sql Injection’s
Ditulis oleh adixersoft di/pada 09/10/2009
Sekarang kita coba, untuk ngepatch bug SQLi itu sendiri.
Hallo adizonners sorry nich dach lama gak ngebloger lagi soalnya sibux ma kerjaan
oke sekrang gw mau bahas tentang security web agar terhindar dari serangan hacker
biasanya hacker menggunakan tehnik magic Quote alias SQL Injections
contoh:
Misalkan saja targetnya http://www.Targetkita.com/news.php?nid=76′
Ketika kita menambahkan quote (‘)pada akhir url, kita mendapatkan error.
Sekarang kita tahu bahwa file yang bermasalah adalah news.php dg input “nid”.
Sekarang kita lihat source codenya…abis itu kita petch biar terhindar dari serangan SQL injections
if($nid)
{
$sql = “SELECT * FROM News “;
$sql .= “WHERE News_ID = $nid”;
}
else
{
$sql = “SELECT * FROM News “;
$sql .= “ORDER BY News_ID DESC LIMIT 0,1″;
}
Nah, kelihatan kan?? jelas bahwa disitu tidak ada filter, sehinggal attacker bisa melakukan Injecti melalui input “$nid”.
Ada beberapa cara untuk patch bug SQLI, yaitu dengan memfilter karakter, maupun membatasi length pada input.
Beberapa perintahnya antara lain:
1. Agar hanya angka pada input
if (!preg_match(“/^[0-9]+$/”, $nid))
{
command;
}2. Agar tidak ada nilai minus pada input
if ($nid 3)
{
command;
}
command bisa anda ganti sesuka anda.
Seboga artikel ini cukup berarti buat kalian para administrator web agar terhindar dari serangan hacker
Aapa lagi hacker maling sial….biasanya si kalo hacker indonesia gk pernah mau deface situs Indo…
paling cuman ngingetin doang…Oke sekian dulu..silahkan di coba
THx to : devil_nongkrong and devilzc0de crew
