Media Belajar Bahasa Pemrograman | by APPKEY

SQLTutorial SQL 12 : SQL Injection, Cara Mencegah Terjadinya...

Tutorial SQL 12 : SQL Injection, Cara Mencegah Terjadinya Injeksi pada SQL

-

Last Updated on November 5, 2021 by

Pernahkah Anda mendengar tentang injeksi? Jika bicara tentang injeksi, Anda mungkin langsung terpikir pada hal-hal yang berkaitan dengan dunia kesehatan terkait dengan pemberian obat atau mungkin juga hal-hal yang berkaitan dengan mesin. Sama halnya dengan mesin atau obat-obatan, database seperti SQL juga terdapat istilah injeksi. SQL Injection adalah salah satu teknik meretas dengan cara menginjeksi kode yang dapat merusak database Anda.

Injeksi SQL juga merupakan salah satu teknik peretasan web yang paling umum dilakukan. Injeksi SQL menempatkan kode berbahaya dalam pernyataan atau perintah kode SQL, melalui input halaman web.

Artikel kali ini akan membahas lebih banyak tentang injeksi. Jika Anda tertarik untuk mengetahui cara mengatasi injeksi SQL atau SQL injection, maka simak terus artikel berikut ini.

SQL Injection

sql Injection

Injeksi SQL adalah jenis serangan situs web yang memungkinkan peretas mengacaukan kueri SQL. Untuk memahami kerusakan apa yang dapat dilakukan serangan semacam itu, Anda perlu mengingat SQL digunakan dalam bekerja dengan database. Hal ini berarti penyusup dapat memperoleh akses ke data yang Anda simpan.

Jika Anda beruntung, mereka mungkin akan memasukkan atau mengubah sesuatu di database Anda. Namun, sebagian besar suntikan SQL mengakibatkan perusakan atau pencurian informasi sensitif. Hasilnya bisa sangat menghancurkan bisnis besar – misalnya, Starbucks memiliki banyak informasi keuangan dan penggajian yang dicuri pada tahun 2019.

Dalam kasus yang paling ekstrim, seorang hacker bahkan dapat mengambil alih kendali database Anda sepenuhnya. Oleh karena itu, sangat penting untuk memahami cara mencegah injeksi SQL.

Injeksi SQL biasanya terjadi saat Anda meminta masukan dari pengguna, seperti nama pengguna / id pengguna mereka, dan alih-alih nama / id, pengguna memberikan sebuah pernyataan SQL yang tanpa sadar akan Anda jalankan di database Anda. Lihat pada contoh berikut yang membuat pernyataan SELECT dengan menambahkan variabel (txtUserId) ke string perintah. Variabel diambil dari input pengguna (getRequestString):

txtUserId = getRequestString("UserId");
txtSQL = "SELECT * FROM Users WHERE UserId = " + txtUserId;

Dasar SQL Injection Beserta Contoh

Dalam contoh potongan kode di bawah ini, kami menetapkan nilai string ke variabel yang disebut txt_user_id. Kami akan mengambil variabel ini melalui input pengguna:

txt_user_id = getRequestString("user_id");
txt_sql = "SELECT *  FROM users WHERE user_id = " + txt_user_id;

Mari kita asumsikan tujuan awal kode ini adalah untuk membuat pernyataan SQL yang memilih pengguna dengan ID tertentu. Harus ada cara untuk membedakan input yang valid dari input cerdas seperti ini:

user_id:

105 atau 1 = 1

SELECT * FROM users WHERE id = 105 or 1=1

Contoh pernyataan di atas ini adalah valid. Semua baris dari pengguna akan dikembalikan, karena WHERE 1 = 1 benar apa pun yang terjadi. Tabel informasi rahasia, seperti nama pengguna dan kata sandi, dapat dengan mudah menjadi sasaran penyisipan tersebut.

Artikel Terkait  Tutorial SQL 39 : Mengenal SQL Primary Key

Penggunaan ‘’’’ dan ‘’=’’

Form di bawah ini adalah contoh form yang umum Anda gunakan untuk memverifikasi login pengguna ke dalam suatu website.

form

u_name = getRequestString("user_name");
u_pass = getRequestString("user_pass");  

sql = "SELECT * FROM users WHERE username ='" + u_name + "' AND pass ='" + u_pass + "'"

Seorang hacker akan mendapat akses untuk ke database tidak aman hanya dengan mengetik “” atau “” = “” ke dalam formulir masukan. Hasilnya akan valid dan mengembalikan semua baris dari tabel users, karena WHERE “” = “” selalu benar.

SELECT * FROM users WHERE username ="" or ""="" AND password ="" or ""=""

Pernyataan SQL Batch

Biasanya, database mendukung kueri SQL yang digabungkan (ditulis dalam satu baris dan dipisahkan oleh titik koma). Kueri di bawah ini akan mengembalikan semua baris dari tabel users, dan kemudian menghapus tabel yang disebut customers:

SELECT * FROM users; DROP TABLE customers

Bayangkan kita mempunyai server berikut ini dan input seperti di bawah ini:

txt_sql = "SELECT *  FROM users WHERE user_id = " + txt_user_id;

Kode pada server dapat membuat sebuah statement SQL yang valid seperti di bawah ini:

SELECT * FROM users WHERE id = 105; DROP TABLE customers

Mencegah Injeksi SQL Menggunakan Parameter

Beberapa praktik pengembangan web menggunakan kamus kata-kata yang dilarang (daftar hitam) sebagai pencegahan injeksi SQL. Itu adalah praktik yang buruk dalam banyak kasus. Sebagian besar kata dalam daftar hitam (misalnya, hapus, pilih, atau hapus) dapat digunakan dalam bahasa yang sama.

Satu-satunya cara yang terbukti untuk melindungi situs web dari serangan injeksi SQL adalah dengan menggunakan parameter perlindungan SQL. Ini adalah nilai kustom, ditambahkan ke kueri SQL pada saat eksekusi. Dalam pernyataan SQL, perlindungan SQL ditentukan oleh penanda @:

txt_user_id = getRequestString("user_id");
txt_sql = "SELECT *  FROM users WHERE user_id = @0";
db.Execute(txt_sql,txt_user_id);

Saat kueri SQL diproses, setiap parameter diperiksa untuk memastikan keamanan. Penanda selalu diperlakukan seperti teks input dan bukan bagian dari kueri SQL:

txt_nam = getRequestString("company_name");
txt_psc = getRequestString("passcode");
txt_add = getRequestString("address");  
txt_sql = "INSERT INTO customers (company_name,passcode,address) Values(@0,@1,@2)";
db.Execute(txt_sql,txt_nam,txt_psc,txt_add);

Contoh Sederhana

Contoh di bawah ini menunjukkan cara menyiapkan parameter perlindungan injeksi SQL di ASP.NET dan PHP. Dalam contoh pertama, Anda dapat melihat aplikasi pernyataan SELECT di ASP.NET:

txt_user_id = getRequestString("user_id");
sql = "SELECT * FROM customers WHERE customer_id = @0";
command = new SqlCommand(sql);
command.Parameters.AddWithValue("@0",txt_user_id); 
command.ExecuteReader();

Berikut adalah contoh penggunaan pernyataan INSERT INTO di ASP.NET:

txt_nam = getRequestString("company_name");
txt_psc = getRequestString("passcode");
txt_add = getRequestString("address"); 
txt_sql = "INSERT INTO customers (company_name,passcode,address) Values(@0,@1,@2)";
command = new SqlCommand(txt_sql); 
command.Parameters.AddWithValue("@0",txt_nam);
command.Parameters.AddWithValue("@1",txt_psc); 
command.Parameters.AddWithValue("@2",txt_add);
command.ExecuteNonQuery();

Dalam contoh terakhir ini, kami akan menggunakan pernyataan INSERT INTO di PHP:

$stmt = $dbh->prepare("INSERT INTO Customers (CompanyName,Passcode,Address) VALUES (:nam, :psc, :add)");
$stmt->bindParam(':nam', $txtNam);
$stmt->bindParam(':psc', $txtPsc);
$stmt->bindParam(':add', $txtAdd);
$stmt->execute();

Tips untuk Mencegah SQL Injection

Terakhir, untuk menutup artikel kali ini, Codekey akan memberikan Anda sedikit tips tentang cara mencegah injeksi SQL.

  1. Injeksi SQL paling dasar dapat dicegah dengan memfilter input. Namun, itu tidak akan menghentikan serangan yang lebih kompleks.
  2. Untuk mencegah kerusakan injeksi SQL maksimum, disarankan untuk memisahkan data sensitif Anda dan menyimpannya di beberapa database.
  3. Sesuaikan pesan kesalahan Anda sehingga tidak memberikan informasi apa pun tentang struktur database Anda kepada calon penyusup.

Kunjungi website Codekey di https://codekey.id/. Codekey adalah Media Belajar Bahasa Pemrograman yang akan membantu Anda memecahkan masalah pemrograman dengan tutorial, tips, dan trik yang mudah dipahami. Jangan lupa kunjungi selalu Codekey agar Anda tidak ketinggalan informasi terbaru.  



Jasa Pembuatan Aplikasi, Website dan Internet Marketing | PT APPKEY
PT APPKEY adalah perusahaan IT yang khusus membuat aplikasi Android, iOS dan mengembangkan sistem website. Kami juga memiliki pengetahuan dan wawasan dalam menjalankan pemasaran online sehingga diharapkan dapat membantu menyelesaikan permasalahan Anda.

Jasa Pembuatan Aplikasi

Jasa Pembuatan Website

Jasa Pembuatan Paket Aplikasi

Jasa Pembuatan Internet Marketing

Tutorial

Subscribe Sekarang

Dapatkan beragam informasi menarik tentang bahasa pemrograman langsung melalui email Anda. Subscribe sekarang dan terus belajar bersama kami!

Blog Post Ranking 10

Tutorial PHP 22 : Cara Membuat Redirect PHP dengan Cepat dan Mudah

Jika Anda melakukan browsing di browser kesayangan Anda, mungkin Anda pernah melihat link yang berisikan “php redirect” atau yang...

Tutorial PHP 23 : Cara Membuat Messages Alert PHP

Alert box atau alert messages digunakan di situs web untuk menampilkan pesan peringatan kepada pengguna bahwa mereka telah memasukkan...

Tutorial PHP 2 : Cara Install PHP, Langkah Awal Belajar PHP

PHP adalah bahasa pemrograman gratis dan open source. Secara teknis tidak perlu menginstal PHP: sebagian besar host web dan...

Tutorial Python 9 : Cara Membuat Looping Python

Pada artikel sebelumnya, Codekey telah menjelaskan tentang Operasi Kondisional Python yang di dalamnya menyinggung tentang percabangan dan perulangan. Belajar...

Tutorial HTML/CSS 23 : Cara Membuat Form Sederhana dengan HTML

Form memiliki peran yang sangat krusial bagi website atau aplikasi untuk menjaga sistem keamanannya. Form HTML digunakan untuk mengumpulkan...

Tutorial SQL 8 : Constraint SQL, Bagaimana Fungsi dan Penggunaannya?

Pada artikel sebelumnya Anda telah mempelajari tentang wildcard SQL, pada artikel kali ini kami akan menjelaskan tentang constraint SQL. Jika...

Tutorial Javascript 8 : Array Javascript, Panduan Lengkap Cara Membuatnya

Seperti bahasa pemrograman yang berorientasi objek lainnya, dalam JavaScript juga terdapat array. Jika Anda memiliki banyak objek yang ingin...

Tutorial SQL 20 : Mari Pelajari Cara Menggunakan Fungsi GROUP by SQL

Pada pembahasan seri Tutorial SQL ke- 20 ini, Codekey akan membahas tentang GROUP BY yang merupakan statement di dalam...

Tutorial Python 7 : Python String Format dan Cara Mudahnya

Anda ingin belajar Python dan ingin menjadi ahli dalam bahasa pemrograman Python? Mari belajar bersama Codekey! Pada pembahasan kali...

Tutorial Python 8 : Langkah Mudah Membuat Operasi Kondisional pada Python

Pada pembahasan sebelumnya, Codekey telah menjelaskan kepada Anda tentang pengoperasian string pada Python mulai dari menggabungkan hingga memanipulasi string...

Bisnis

Online Service

Peluang Bisnis

Model Bisnis

Entrepreneurship

Uang

Ketrampilan

Outsourcing

Monetize

Pemasaran

SEO

Internet Marketing

Dasar Pemasaran

Strategi Pemasaran

Situs Web Analitik

Iklan

Teknologi

Teknologi Terbaru

AI

Komputer

Jaringan

Paling Sering dibaca
Mungkin Anda Menyukainya