(Database
MySQL) buat
yang belum tau XSS dan sql injek silakan cari d google,jangan malas..hadu..
banyak bertebaran d
luar sana tekhnik2 hacking XSS maupun Sql injek,trusantisipasina gmn donk?
gue cuma share sederhana
doank, tapi…….disini
saya memperkecil keadaan saja ,selanjutnya explorasikan dengan search
enginelainnya..
1. Gunakan wrapper untuk
eksekusi sql (file disertakan)
3. Replace POST
dan GET variable yang berisi karakter-karakter yang bisa mengacaukanSQL
(database) sebelum dieksekusi dengan SQL command.
contoh kita punya tabel:CREATE TABLE gbook ( id
int(11) NOT NULL auto_increment, name varchar(15)default NULL,
komen varchar(text), PRIMARY
KEY (id) ) TYPE=MyISAM;Untuk view content dgn id = 3, biasanya kita tulis pada browser
seperti berikut ini.
http://diknas.go.id/index.php?action=view&id=3
http://blablablablala.com/index.php?action=view&id=3
Untuk
memahami nya, mari kita pilah2 dulu url tadi.
–
action=view, adalah variabel $_GET dengan key = action dan
value = view yang akanmengeksekusi
fungsi viewContent()
– id =1, adalah variabel $_GET dengan key = id dan value = 1
yang akan dieksekusidalam SQL command.
OK, sekarang
penulis akan berikan file-file untuk mencoba
kasus di atas, ada tiga fileyaitu
seperti yang terlihat di bawah ini.- config.php, merupakan file
yang berisi konfigurasi database yang bisa Anda set sesuai pada
komputer kamu.- classdb.php, merupakan file yang berisi
operasi terhadap database (MySQL) -index.php, merupakan file utama yang akan
dijalankan nantinya
nice post gan
ReplyDeletethanks gan share nya
ReplyDeleteSama sama
ReplyDeletewaaahhh sipp gan infonya...????
ReplyDeleteiya gan..
ReplyDelete