Sunday

Tips Sederhana Mengantisipasi XSS dan SQL Inject Pada PHP

 
(Database MySQL) buat yang belum tau XSS dan sql injek silakan cari d google,jangan malas..hadu..
banyak bertebaran d luar sana tekhnik2 hacking XSS maupun Sql injek,trusantisipasina gmn donk? 
gue cuma share sederhana doank, tapi…….disini saya memperkecil keadaan saja ,selanjutnya explorasikan dengan search enginelainnya.. 
1. Gunakan wrapper untuk eksekusi sql (file disertakan) 
2. Gunakan validasi POST dan GET variable sebelum dieksekusi dengan SQL command 
3. Replace POST dan GET variable yang berisi karakter-karakter yang bisa mengacaukanSQL (database) sebelum dieksekusi dengan SQL command. 
contoh kita punya tabel:CREATE TABLE gbook ( id int(11) NOT NULL auto_increment, name varchar(15)default NULL, komen varchar(text), PRIMARY KEY (id) ) TYPE=MyISAM;Untuk view content dgn id = 3, biasanya kita tulis pada browser seperti berikut ini. 
http://diknas.go.id/index.php?action=view&id=3
http://blablablablala.com/index.php?action=view&id=3 
Untuk memahami nya, mari kita pilah2 dulu url tadi. 
 – action=view, adalah variabel $_GET dengan key = action dan value = view yang akanmengeksekusi fungsi viewContent() 
– id =1, adalah variabel $_GET dengan key = id dan value = 1 yang akan dieksekusidalam SQL command. 
OK, sekarang penulis akan berikan file-file untuk mencoba kasus di atas, ada tiga fileyaitu seperti yang terlihat di bawah ini.- config.php, merupakan file yang berisi konfigurasi database yang bisa Anda set sesuai pada komputer kamu.- classdb.php, merupakan file yang berisi operasi terhadap database (MySQL) -index.php, merupakan file utama yang akan dijalankan nantinya

Tips Sederhana Mengantisipasi XSS dan SQL Inject Pada PHP Rating: 4.5 Diposkan Oleh: Unknown

6 komentar: