Underground Cyber Community


 
IndeksPortalCalendarGalleryFAQPencarianAnggotaPendaftaranLogin
Pencarian
 
 

Display results as :
 
Rechercher Advanced Search
Latest topics
Top posters
PrOReBeLL (140)
 
Pahlawan Bertopeng (120)
 
hacker.software (91)
 
jundue (48)
 
q3qyuu (47)
 
hackerccfresh (40)
 
Arwen Lover's (38)
 
tracksmarket (38)
 
Admin (35)
 
alex11 (33)
 
Map Counter

Share | 
 

 SQL Injection Flaw Patching

Topik sebelumnya Topik selanjutnya Go down 
PengirimMessage
PrOReBeLL
Paling Cool Di PCT
Paling Cool Di PCT
avatar

Jumlah posting : 140
Join date : 13.09.10
Lokasi : Pekanbaru

PostSubyek: SQL Injection Flaw Patching   Mon Oct 11, 2010 7:49 pm

Hmm Seorang hacker jangan hanya bisa melakukan attack, tpi persiapkan juga untuk defendnya seperti membantu admin yg kita depes ato hack melakukan pacth terhadap sitenya ...

Langsung saja...

Patch untuk mencegah serangan SQL Injection di halaman dinamis pada PHP + MySQL.
Biasanya halaman dinamis ini
bentuknya kayak gini [You must be registered and logged in to see this link.]

Bentuk umum kode di halaman dinamis php untuk membaca database melalui MySQL :
PHP Code:
Code:
$id = htmlentities($_GET['id']);
$variabel = mysql_query("select *from tabeltarget where idtarget='$id'")

Injection Flaw terjadi karena inputnya gak kefilter dengan baik. Sehingga input ‘$id’ yang seharusnya diisi dengan (biasanya) angka bisa diisi dengan query SQL.. Yang mengakibatkan query SQL tersebut dieksekusi sehingga injector bisa melakukan berbagai hal misalnya membaca isi database, membaca suatu file di situs tersebut, dll.

Nah, untuk mencegah hal tersebut sebaiknya kita memfilter inputnya sebelum diproses dengan SQL.

Contoh kode filternya :
PHP Code:
Code:
[error_reporting(0);
class filter{
function filtering($id){
$idfilter = mysql_real_escape_string($id);
if (!ctype_digit($idfilter))
{
echo "Can't process your request, dude :P ";
exit;
}
else if ($idfilter <= 0)
{
echo "Can't process your request, dude :P ";
exit;
}
else
{
return $id;
}
}
}
$Filter2 = new filter();
$id = htmlentities($_GET['id']);
$secured = $Filter2->filtering($id);
$variabel = mysql_query("select *from tabeltarget where idtarget='$secured'")

Penjelasan :

Pertama-tama menggunakan error_reporting(0); . Kode tersebut digunakan untuk mendisable error reporting sehingga jika terjadi error tidak keluar pesan error.

Selanjutnya variabel $id disaring dulu menggunakan mysql_real_escape_string yang berfungsi untuk menambahkan slash (\) apabila ada tanda kutip pada input $id.

Setelah disaring dengan mysql_real_escape_string, disaring lagi dengan melakukan pengecekan apakah inputnya berupa angka atau bukan dengan menggunakan kode !ctype_digit . Jika ternyata bukan angka maka akan ditolak. Selain pengecekan input apakah angka atau bukan, dilakukan juga pengecekan apakah inputnya sama atau lebih kecil dari 0 (minus) jika iya maka akan ditolak.

Abis itu baru deh aplikasikan ke syntax SQL-nya.

Untuk lebih jelasnya silahkan baca ulang kode sebelum difilter dan setelah difilter berkali-kali sampai paham.

_________________________________________________
Welcome In PCT Forum

Blog Cupu Seorang Newbie
Kembali Ke Atas Go down
http://prorebell.blogspot.com/
White_ID
Members PCT
Members PCT
avatar

Jumlah posting : 15
Join date : 17.09.10

PostSubyek: Re: SQL Injection Flaw Patching   Tue Oct 12, 2010 5:25 pm

PrOReBeLL wrote:
Hmm Seorang hacker jangan hanya bisa melakukan attack, tpi persiapkan juga untuk defendnya seperti membantu admin yg kita depes ato hack melakukan pacth terhadap sitenya ...

Langsung saja...

Patch untuk mencegah serangan SQL Injection di halaman dinamis pada PHP + MySQL.
Biasanya halaman dinamis ini
bentuknya kayak gini [You must be registered and logged in to see this link.]

Bentuk umum kode di halaman dinamis php untuk membaca database melalui MySQL :
PHP Code:
Code:
$id = htmlentities($_GET['id']);
$variabel = mysql_query("select *from tabeltarget where idtarget='$id'")

Injection Flaw terjadi karena inputnya gak kefilter dengan baik. Sehingga input ‘$id’ yang seharusnya diisi dengan (biasanya) angka bisa diisi dengan query SQL.. Yang mengakibatkan query SQL tersebut dieksekusi sehingga injector bisa melakukan berbagai hal misalnya membaca isi database, membaca suatu file di situs tersebut, dll.

Nah, untuk mencegah hal tersebut sebaiknya kita memfilter inputnya sebelum diproses dengan SQL.

Contoh kode filternya :
PHP Code:
Code:
[error_reporting(0);
class filter{
function filtering($id){
$idfilter = mysql_real_escape_string($id);
if (!ctype_digit($idfilter))
{
echo "Can't process your request, dude :P ";
exit;
}
else if ($idfilter <= 0)
{
echo "Can't process your request, dude :P ";
exit;
}
else
{
return $id;
}
}
}
$Filter2 = new filter();
$id = htmlentities($_GET['id']);
$secured = $Filter2->filtering($id);
$variabel = mysql_query("select *from tabeltarget where idtarget='$secured'")

Penjelasan :

Pertama-tama menggunakan error_reporting(0); . Kode tersebut digunakan untuk mendisable error reporting sehingga jika terjadi error tidak keluar pesan error.

Selanjutnya variabel $id disaring dulu menggunakan mysql_real_escape_string yang berfungsi untuk menambahkan slash (\) apabila ada tanda kutip pada input $id.

Setelah disaring dengan mysql_real_escape_string, disaring lagi dengan melakukan pengecekan apakah inputnya berupa angka atau bukan dengan menggunakan kode !ctype_digit . Jika ternyata bukan angka maka akan ditolak. Selain pengecekan input apakah angka atau bukan, dilakukan juga pengecekan apakah inputnya sama atau lebih kecil dari 0 (minus) jika iya maka akan ditolak.

Abis itu baru deh aplikasikan ke syntax SQL-nya.

Untuk lebih jelasnya silahkan baca ulang kode sebelum difilter dan setelah difilter berkali-kali sampai paham.



yakin tu gan????ehehhe
Kembali Ke Atas Go down
PrOReBeLL
Paling Cool Di PCT
Paling Cool Di PCT
avatar

Jumlah posting : 140
Join date : 13.09.10
Lokasi : Pekanbaru

PostSubyek: Re: SQL Injection Flaw Patching   Wed Oct 13, 2010 10:34 pm

yg ane dpt tutorial dri temen2 sih...blum gitu coba... tpi kalo agan mw coba tunggu apa lagi gan... lanjutkan Very Happy

_________________________________________________
Welcome In PCT Forum

Blog Cupu Seorang Newbie
Kembali Ke Atas Go down
http://prorebell.blogspot.com/
c0ns0l3
Neo Member
Neo Member


Jumlah posting : 3
Join date : 07.01.11

PostSubyek: Re: SQL Injection Flaw Patching   Thu Jan 13, 2011 5:46 pm

owh.. jadi tau ane gan
Kembali Ke Atas Go down
Sponsored content




PostSubyek: Re: SQL Injection Flaw Patching   

Kembali Ke Atas Go down
 
SQL Injection Flaw Patching
Topik sebelumnya Topik selanjutnya Kembali Ke Atas 
Halaman 1 dari 1
 Similar topics
-
» Injection Open Loop vs Close Loop
» WATER INJECTION (WAI) FOR N250R
» N250 Fuel injection Kit PNP
» (Ask) Ninja 250 Injection vs. Carbu
» Knalpot R9 Ninja 250 Injection 2013

Permissions in this forum:Anda tidak dapat menjawab topik
Underground Cyber Community :: Hacking :: Show Off-
Navigasi: