Last Updated on November 5, 2021 by
Pernahkah Anda mendengar tentang injeksi? Jika bicara tentang injeksi, Anda mungkin langsung terpikir pada hal-hal yang berkaitan dengan dunia kesehatan terkait dengan pemberian obat atau mungkin juga hal-hal yang berkaitan dengan mesin. Sama halnya dengan mesin atau obat-obatan, database seperti SQL juga terdapat istilah injeksi. SQL Injection adalah salah satu teknik meretas dengan cara menginjeksi kode yang dapat merusak database Anda.
Injeksi SQL juga merupakan salah satu teknik peretasan web yang paling umum dilakukan. Injeksi SQL menempatkan kode berbahaya dalam pernyataan atau perintah kode SQL, melalui input halaman web.
Artikel kali ini akan membahas lebih banyak tentang injeksi. Jika Anda tertarik untuk mengetahui cara mengatasi injeksi SQL atau SQL injection, maka simak terus artikel berikut ini.
Table of Contents
SQL Injection
Injeksi SQL adalah jenis serangan situs web yang memungkinkan peretas mengacaukan kueri SQL. Untuk memahami kerusakan apa yang dapat dilakukan serangan semacam itu, Anda perlu mengingat SQL digunakan dalam bekerja dengan database. Hal ini berarti penyusup dapat memperoleh akses ke data yang Anda simpan.
Jika Anda beruntung, mereka mungkin akan memasukkan atau mengubah sesuatu di database Anda. Namun, sebagian besar suntikan SQL mengakibatkan perusakan atau pencurian informasi sensitif. Hasilnya bisa sangat menghancurkan bisnis besar – misalnya, Starbucks memiliki banyak informasi keuangan dan penggajian yang dicuri pada tahun 2019.
Dalam kasus yang paling ekstrim, seorang hacker bahkan dapat mengambil alih kendali database Anda sepenuhnya. Oleh karena itu, sangat penting untuk memahami cara mencegah injeksi SQL.
Injeksi SQL biasanya terjadi saat Anda meminta masukan dari pengguna, seperti nama pengguna / id pengguna mereka, dan alih-alih nama / id, pengguna memberikan sebuah pernyataan SQL yang tanpa sadar akan Anda jalankan di database Anda. Lihat pada contoh berikut yang membuat pernyataan SELECT dengan menambahkan variabel (txtUserId) ke string perintah. Variabel diambil dari input pengguna (getRequestString):
txtUserId = getRequestString("UserId");
txtSQL = "SELECT * FROM Users WHERE UserId = " + txtUserId;
Dasar SQL Injection Beserta Contoh
Dalam contoh potongan kode di bawah ini, kami menetapkan nilai string ke variabel yang disebut txt_user_id. Kami akan mengambil variabel ini melalui input pengguna:
txt_user_id = getRequestString("user_id");
txt_sql = "SELECT * FROM users WHERE user_id = " + txt_user_id;
Mari kita asumsikan tujuan awal kode ini adalah untuk membuat pernyataan SQL yang memilih pengguna dengan ID tertentu. Harus ada cara untuk membedakan input yang valid dari input cerdas seperti ini:
user_id:
105 atau 1 = 1
SELECT * FROM users WHERE id = 105 or 1=1
Contoh pernyataan di atas ini adalah valid. Semua baris dari pengguna akan dikembalikan, karena WHERE 1 = 1 benar apa pun yang terjadi. Tabel informasi rahasia, seperti nama pengguna dan kata sandi, dapat dengan mudah menjadi sasaran penyisipan tersebut.
Penggunaan ‘’’’ dan ‘’=’’
Form di bawah ini adalah contoh form yang umum Anda gunakan untuk memverifikasi login pengguna ke dalam suatu website.
u_name = getRequestString("user_name");
u_pass = getRequestString("user_pass");
sql = "SELECT * FROM users WHERE username ='" + u_name + "' AND pass ='" + u_pass + "'"
Seorang hacker akan mendapat akses untuk ke database tidak aman hanya dengan mengetik “” atau “” = “” ke dalam formulir masukan. Hasilnya akan valid dan mengembalikan semua baris dari tabel users, karena WHERE “” = “” selalu benar.
SELECT * FROM users WHERE username ="" or ""="" AND password ="" or ""=""
Pernyataan SQL Batch
Biasanya, database mendukung kueri SQL yang digabungkan (ditulis dalam satu baris dan dipisahkan oleh titik koma). Kueri di bawah ini akan mengembalikan semua baris dari tabel users, dan kemudian menghapus tabel yang disebut customers:
SELECT * FROM users; DROP TABLE customers
Bayangkan kita mempunyai server berikut ini dan input seperti di bawah ini:
txt_sql = "SELECT * FROM users WHERE user_id = " + txt_user_id;
Kode pada server dapat membuat sebuah statement SQL yang valid seperti di bawah ini:
SELECT * FROM users WHERE id = 105; DROP TABLE customers
Mencegah Injeksi SQL Menggunakan Parameter
Beberapa praktik pengembangan web menggunakan kamus kata-kata yang dilarang (daftar hitam) sebagai pencegahan injeksi SQL. Itu adalah praktik yang buruk dalam banyak kasus. Sebagian besar kata dalam daftar hitam (misalnya, hapus, pilih, atau hapus) dapat digunakan dalam bahasa yang sama.
Satu-satunya cara yang terbukti untuk melindungi situs web dari serangan injeksi SQL adalah dengan menggunakan parameter perlindungan SQL. Ini adalah nilai kustom, ditambahkan ke kueri SQL pada saat eksekusi. Dalam pernyataan SQL, perlindungan SQL ditentukan oleh penanda @:
txt_user_id = getRequestString("user_id");
txt_sql = "SELECT * FROM users WHERE user_id = @0";
db.Execute(txt_sql,txt_user_id);
Saat kueri SQL diproses, setiap parameter diperiksa untuk memastikan keamanan. Penanda selalu diperlakukan seperti teks input dan bukan bagian dari kueri SQL:
txt_nam = getRequestString("company_name");
txt_psc = getRequestString("passcode");
txt_add = getRequestString("address");
txt_sql = "INSERT INTO customers (company_name,passcode,address) Values(@0,@1,@2)";
db.Execute(txt_sql,txt_nam,txt_psc,txt_add);
Contoh Sederhana
Contoh di bawah ini menunjukkan cara menyiapkan parameter perlindungan injeksi SQL di ASP.NET dan PHP. Dalam contoh pertama, Anda dapat melihat aplikasi pernyataan SELECT di ASP.NET:
txt_user_id = getRequestString("user_id");
sql = "SELECT * FROM customers WHERE customer_id = @0";
command = new SqlCommand(sql);
command.Parameters.AddWithValue("@0",txt_user_id);
command.ExecuteReader();
Berikut adalah contoh penggunaan pernyataan INSERT INTO di ASP.NET:
txt_nam = getRequestString("company_name");
txt_psc = getRequestString("passcode");
txt_add = getRequestString("address");
txt_sql = "INSERT INTO customers (company_name,passcode,address) Values(@0,@1,@2)";
command = new SqlCommand(txt_sql);
command.Parameters.AddWithValue("@0",txt_nam);
command.Parameters.AddWithValue("@1",txt_psc);
command.Parameters.AddWithValue("@2",txt_add);
command.ExecuteNonQuery();
Dalam contoh terakhir ini, kami akan menggunakan pernyataan INSERT INTO di PHP:
$stmt = $dbh->prepare("INSERT INTO Customers (CompanyName,Passcode,Address) VALUES (:nam, :psc, :add)");
$stmt->bindParam(':nam', $txtNam);
$stmt->bindParam(':psc', $txtPsc);
$stmt->bindParam(':add', $txtAdd);
$stmt->execute();
Tips untuk Mencegah SQL Injection
Terakhir, untuk menutup artikel kali ini, Codekey akan memberikan Anda sedikit tips tentang cara mencegah injeksi SQL.
- Injeksi SQL paling dasar dapat dicegah dengan memfilter input. Namun, itu tidak akan menghentikan serangan yang lebih kompleks.
- Untuk mencegah kerusakan injeksi SQL maksimum, disarankan untuk memisahkan data sensitif Anda dan menyimpannya di beberapa database.
- Sesuaikan pesan kesalahan Anda sehingga tidak memberikan informasi apa pun tentang struktur database Anda kepada calon penyusup.
Kunjungi website Codekey di https://codekey.id/. Codekey adalah Media Belajar Bahasa Pemrograman yang akan membantu Anda memecahkan masalah pemrograman dengan tutorial, tips, dan trik yang mudah dipahami. Jangan lupa kunjungi selalu Codekey agar Anda tidak ketinggalan informasi terbaru.
Jasa Pembuatan Aplikasi, Website dan Internet Marketing | PT APPKEY
PT APPKEY adalah perusahaan IT yang khusus membuat aplikasi Android, iOS dan mengembangkan sistem website. Kami juga memiliki pengetahuan dan wawasan dalam menjalankan pemasaran online sehingga diharapkan dapat membantu menyelesaikan permasalahan Anda.
