Media Belajar Bahasa Pemrograman | by APPKEY

SQL Tutorial SQL 12 : Cara Mencegah Terjadinya Injeksi pada...

Tutorial SQL 12 : Cara Mencegah Terjadinya Injeksi pada SQL

-

Pernahkah Anda mendengar tentang injeksi? Jika bicara tentang injeksi, Anda mungkin langsung terpikir pada hal-hal yang berkaitan dengan dunia kesehatan terkait dengan pemberian obat atau mungkin juga hal-hal yang berkaitan dengan mesin. Sama halnya dengan mesin atau obat-obatan, database seperti SQL juga terdapat istilah injeksi. Injeksi SQL adalah salah satu teknik meretas dengan cara menginjeksi kode yang dapat merusak database Anda.

Injeksi SQL juga merupakan salah satu teknik peretasan web yang paling umum dilakukan. Injeksi SQL menempatkan kode berbahaya dalam pernyataan atau perintah kode SQL, melalui input halaman web. Artikel kali ini akan membahas lebih banyak tentang injeksi. Jika Anda tertarik untuk mengetahui cara mengatasi injeksi SQL atau SQL injection, maka simak terus artikel berikut ini.

Artikel Terkait  Tutorial SQL 11 : Cara Menggunakan Format Tanggal yang Benar pada SQL.

SQL Injection

sql Injection

 

Injeksi SQL adalah jenis serangan situs web yang memungkinkan peretas mengacaukan kueri SQL. Untuk memahami kerusakan apa yang dapat dilakukan serangan semacam itu, Anda perlu mengingat SQL digunakan dalam bekerja dengan database. Hal ini berarti penyusup dapat memperoleh akses ke data yang Anda simpan.

Jika Anda beruntung, mereka mungkin akan memasukkan atau mengubah sesuatu di database Anda. Namun, sebagian besar suntikan SQL mengakibatkan perusakan atau pencurian informasi sensitif. Hasilnya bisa sangat menghancurkan bisnis besar – misalnya, Starbucks memiliki banyak informasi keuangan dan penggajian yang dicuri pada tahun 2019.

Dalam kasus yang paling ekstrim, seorang hacker bahkan dapat mengambil alih kendali database Anda sepenuhnya. Oleh karena itu, sangat penting untuk memahami cara mencegah injeksi SQL. Injeksi SQL biasanya terjadi saat Anda meminta masukan dari pengguna, seperti nama pengguna / id pengguna mereka, dan alih-alih nama / id, pengguna memberikan sebuah pernyataan SQL yang tanpa sadar akan Anda jalankan di database Anda. Lihat pada contoh berikut yang membuat pernyataan SELECT dengan menambahkan variabel (txtUserId) ke string perintah. Variabel diambil dari input pengguna (getRequestString):

txtUserId = getRequestString("UserId");
txtSQL = "SELECT * FROM Users WHERE UserId = " + txtUserId;

Dasar SQL Injection Beserta Contoh

Dalam contoh potongan kode di bawah ini, kami menetapkan nilai string ke variabel yang disebut txt_user_id. Kami akan mengambil variabel ini melalui input pengguna:

txt_user_id = getRequestString("user_id");
txt_sql = "SELECT *  FROM users WHERE user_id = " + txt_user_id;

Mari kita asumsikan tujuan awal kode ini adalah untuk membuat pernyataan SQL yang memilih pengguna dengan ID tertentu. Harus ada cara untuk membedakan input yang valid dari input cerdas seperti ini:

user_id:

105 atau 1 = 1

SELECT * FROM users WHERE id = 105 or 1=1

Contoh pernyataan di atas ini adalah valid. Semua baris dari pengguna akan dikembalikan, karena WHERE 1 = 1 benar apa pun yang terjadi. Tabel informasi rahasia, seperti nama pengguna dan kata sandi, dapat dengan mudah menjadi sasaran penyisipan tersebut.

Penggunaan ‘’’’ dan ‘’=’’

Form di bawah ini adalah contoh form yang umum Anda gunakan untuk memverifikasi login pengguna ke dalam suatu website.

form

u_name = getRequestString("user_name");
u_pass = getRequestString("user_pass");  

sql = "SELECT * FROM users WHERE username ='" + u_name + "' AND pass ='" + u_pass + "'"

Seorang hacker akan mendapat akses untuk ke database tidak aman hanya dengan mengetik “” atau “” = “” ke dalam formulir masukan. Hasilnya akan valid dan mengembalikan semua baris dari tabel users, karena WHERE “” = “” selalu benar.

SELECT * FROM users WHERE username ="" or ""="" AND password ="" or ""=""

Pernyataan SQL Batch

Biasanya, database mendukung kueri SQL yang digabungkan (ditulis dalam satu baris dan dipisahkan oleh titik koma). Kueri di bawah ini akan mengembalikan semua baris dari tabel users, dan kemudian menghapus tabel yang disebut customers:

SELECT * FROM users; DROP TABLE customers

Bayangkan kita mempunyai server berikut ini dan input seperti di bawah ini:

txt_sql = "SELECT *  FROM users WHERE user_id = " + txt_user_id;

Kode pada server dapat membuat sebuah statement SQL yang valid seperti di bawah ini:

SELECT * FROM users WHERE id = 105; DROP TABLE customers

Mencegah Injeksi SQL Menggunakan Parameter

Beberapa praktik pengembangan web menggunakan kamus kata-kata yang dilarang (daftar hitam) sebagai pencegahan injeksi SQL. Itu adalah praktik yang buruk dalam banyak kasus. Sebagian besar kata dalam daftar hitam (misalnya, hapus, pilih, atau hapus) dapat digunakan dalam bahasa yang sama.

Satu-satunya cara yang terbukti untuk melindungi situs web dari serangan injeksi SQL adalah dengan menggunakan parameter perlindungan SQL. Ini adalah nilai kustom, ditambahkan ke kueri SQL pada saat eksekusi. Dalam pernyataan SQL, perlindungan SQL ditentukan oleh penanda @:

txt_user_id = getRequestString("user_id");
txt_sql = "SELECT *  FROM users WHERE user_id = @0";
db.Execute(txt_sql,txt_user_id);

Saat kueri SQL diproses, setiap parameter diperiksa untuk memastikan keamanan. Penanda selalu diperlakukan seperti teks input dan bukan bagian dari kueri SQL:

txt_nam = getRequestString("company_name");
txt_psc = getRequestString("passcode");
txt_add = getRequestString("address");  
txt_sql = "INSERT INTO customers (company_name,passcode,address) Values(@0,@1,@2)";
db.Execute(txt_sql,txt_nam,txt_psc,txt_add);

Contoh Sederhana

Contoh di bawah ini menunjukkan cara menyiapkan parameter perlindungan injeksi SQL di ASP.NET dan PHP. Dalam contoh pertama, Anda dapat melihat aplikasi pernyataan SELECT di ASP.NET:

txt_user_id = getRequestString("user_id");
sql = "SELECT * FROM customers WHERE customer_id = @0";
command = new SqlCommand(sql);
command.Parameters.AddWithValue("@0",txt_user_id); 
command.ExecuteReader();

Berikut adalah contoh penggunaan pernyataan INSERT INTO di ASP.NET:

txt_nam = getRequestString("company_name");
txt_psc = getRequestString("passcode");
txt_add = getRequestString("address"); 
txt_sql = "INSERT INTO customers (company_name,passcode,address) Values(@0,@1,@2)";
command = new SqlCommand(txt_sql); 
command.Parameters.AddWithValue("@0",txt_nam);
command.Parameters.AddWithValue("@1",txt_psc); 
command.Parameters.AddWithValue("@2",txt_add);
command.ExecuteNonQuery();

Dalam contoh terakhir ini, kami akan menggunakan pernyataan INSERT INTO di PHP:

$stmt = $dbh->prepare("INSERT INTO Customers (CompanyName,Passcode,Address) VALUES (:nam, :psc, :add)");
$stmt->bindParam(':nam', $txtNam);
$stmt->bindParam(':psc', $txtPsc);
$stmt->bindParam(':add', $txtAdd);
$stmt->execute();

Tips untuk Mencegah SQL Injection

Terakhir, untuk menutup artikel kali ini, Codekey akan memberikan Anda sedikit tips tentang cara mencegah injeksi SQL.

  1. Injeksi SQL paling dasar dapat dicegah dengan memfilter input. Namun, itu tidak akan menghentikan serangan yang lebih kompleks.
  2. Untuk mencegah kerusakan injeksi SQL maksimum, disarankan untuk memisahkan data sensitif Anda dan menyimpannya di beberapa database.
  3. Sesuaikan pesan kesalahan Anda sehingga tidak memberikan informasi apa pun tentang struktur database Anda kepada calon penyusup.


Jasa Pembuatan Aplikasi, Website dan Internet Marketing | PT APPKEY
PT APPKEY adalah perusahaan IT yang khusus membuat aplikasi Android, iOS dan mengembangkan sistem website. Kami juga memiliki pengetahuan dan wawasan dalam menjalankan pemasaran online sehingga diharapkan dapat membantu menyelesaikan permasalahan Anda.

Jasa Pembuatan Aplikasi

Jasa Pembuatan Website

Jasa Pembuatan Paket Aplikasi

Jasa Pembuatan Internet Marketing

Tutorial

Subscribe Sekarang

Dapatkan beragam informasi menarik tentang bahasa pemrograman langsung melalui email Anda. Subscribe sekarang dan terus belajar bersama kami!

Blog Post Ranking 10

Tutorial Javascript 1 : Pengenalan Javascript untuk Pemula

Ada banyak sekali jenis bahasa pemrograman yang bisa Anda pelajari untuk menjadi seorang programmer profesional. Salah satunya adalah belajar...

Tutorial Swift 2 : Tahap Awal Persiapan dan Mengatur Lingkungan Kerja pada Swift

Setelah Anda mengenal bahasa pemrograman Swift 4, langkah selanjutnya adalah Anda perlu memulai pemrograman Swift 4 dengan cara install...

Tutorial Javascript 6 : Cara Membuat Event pada Javascript

Event JavaScript adalah tindakan atau proses khusus yang terjadi dalam program atau situs web yang akan Anda kembangkan. Anda...

Tutorial Javascript 2 : Tahap Awal Cara Mudah Menulis Kode di Javascript

Kembali lagi di seri belajar Javascript bersama Codekey! Setelah di postingan sebelumnya Anda belajar Javascript terkait konsep-konsep dasarnya, kini...

Tutorial Dart 1 : Pengenalan Bahasa Pemrogaman Dart untuk Pemula

Halo pembaca setia Codekey! Belajar pemrograman saat ini menjadi keharusan bagi semua orang yang ingin berkarir sebagai programmer, hal...

Tutorial HTML/CSS 3 : Pengenalan Elemen Dasar di HTML

HTML adalah bahasa Markup yang terdiri dari elemen dan tag. Artikel ini akan memberi penjelasan kepada Anda tentang elemen-elemen...

Tutorial Dart 3 : Belajar Menggunakan Syntax atau Perintah dasar Dart

Setelah mengatur lingkungan kerja serta instalasi Dart ke dalam sistem operasi yang kalian miliki, dalam pembuatan suatu program baik...

Tutorial HTML/CSS 1 : Pengenalan HTML untuk Pemula

Jika Anda seorang pemula dalam dunia coding dan ingin mengetahui atau belajar HTML dasar, maka artikel ini akan cocok...

Tutorial Javascript 9 : Cepat dan Mudah Cara Mengurutkan Data Array di Javascript

Pada artikel sebelumnya Anda mungkin telah membaca dan mempelajari tentang Array di JavaScript. Pada artikel kali ini, kami akan...

Tutorial Python 7 : Tutorial Dasar Cara Mengoperasikan String pada Python

Anda ingin belajar Python dan ingin menjadi ahli dalam bahasa pemrograman Python? Mari belajar bersama Codekey! Pada pembahasan kali...

Bisnis

Online Service

Peluang Bisnis

Model Bisnis

Entrepreneurship

Uang

Ketrampilan

Outsourcing

Monetize

Pemasaran

SEO

Internet Marketing

Dasar Pemasaran

Strategi Pemasaran

Situs Web Analitik

Iklan

Teknologi

Teknologi Terbaru

AI

Komputer

Jaringan

Paling Sering dibaca
Mungkin Anda Menyukainya