Underground Cyber Community
Would you like to react to this message? Create an account in a few clicks or log in to continue.

Underground Cyber Community


 
IndeksPortalGalleryLatest imagesPencarianPendaftaranLogin
Pencarian
 
 

Display results as :
 
Rechercher Advanced Search
Latest topics
» Hacker,Sell WU Software Bug and sell MTCN,who need buy contact we support
SQL Injection Flaw Patching EmptyThu Apr 30, 2015 9:05 pm by hacker.software

» Hacker,Sell WU Software Bug and sell MTCN,who need buy contact we support
SQL Injection Flaw Patching EmptyThu Apr 30, 2015 9:01 pm by hacker.software

» Hacker,Sell WU Software Bug and sell MTCN,who need buy contact we support
SQL Injection Flaw Patching EmptyThu Apr 30, 2015 8:59 pm by hacker.software

» Hacker,Sell WU Software Bug and sell MTCN,who need buy contact we support
SQL Injection Flaw Patching EmptyThu Apr 30, 2015 8:58 pm by hacker.software

» Hacker,Sell WU Software Bug and sell MTCN
SQL Injection Flaw Patching EmptyThu Apr 30, 2015 8:56 pm by hacker.software

» Western Union Money Transfer through software WU Bug
SQL Injection Flaw Patching EmptyThu Apr 30, 2015 8:55 pm by hacker.software

» Sell Software WU Bug
SQL Injection Flaw Patching EmptyThu Apr 30, 2015 8:54 pm by hacker.software

» Hacker,Sell WU Software Bug and sell MTCN,who need buy contact we support
SQL Injection Flaw Patching EmptyThu Apr 30, 2015 8:52 pm by hacker.software

» Western Union Money Transfer through software WU Bug
SQL Injection Flaw Patching EmptyThu Apr 30, 2015 8:51 pm by hacker.software

» Hacker,Sell WU Software Bug and sell MTCN,who need buy contact we support
SQL Injection Flaw Patching EmptyThu Apr 30, 2015 8:50 pm by hacker.software

Top posters
PrOReBeLL (140)
SQL Injection Flaw Patching I_vote_lcapSQL Injection Flaw Patching I_voting_barSQL Injection Flaw Patching I_vote_rcap 
Pahlawan Bertopeng (120)
SQL Injection Flaw Patching I_vote_lcapSQL Injection Flaw Patching I_voting_barSQL Injection Flaw Patching I_vote_rcap 
hacker.software (91)
SQL Injection Flaw Patching I_vote_lcapSQL Injection Flaw Patching I_voting_barSQL Injection Flaw Patching I_vote_rcap 
jundue (48)
SQL Injection Flaw Patching I_vote_lcapSQL Injection Flaw Patching I_voting_barSQL Injection Flaw Patching I_vote_rcap 
q3qyuu (47)
SQL Injection Flaw Patching I_vote_lcapSQL Injection Flaw Patching I_voting_barSQL Injection Flaw Patching I_vote_rcap 
hackerccfresh (40)
SQL Injection Flaw Patching I_vote_lcapSQL Injection Flaw Patching I_voting_barSQL Injection Flaw Patching I_vote_rcap 
Arwen Lover's (38)
SQL Injection Flaw Patching I_vote_lcapSQL Injection Flaw Patching I_voting_barSQL Injection Flaw Patching I_vote_rcap 
tracksmarket (38)
SQL Injection Flaw Patching I_vote_lcapSQL Injection Flaw Patching I_voting_barSQL Injection Flaw Patching I_vote_rcap 
Admin (35)
SQL Injection Flaw Patching I_vote_lcapSQL Injection Flaw Patching I_voting_barSQL Injection Flaw Patching I_vote_rcap 
alex11 (33)
SQL Injection Flaw Patching I_vote_lcapSQL Injection Flaw Patching I_voting_barSQL Injection Flaw Patching I_vote_rcap 
Map Counter

 

 SQL Injection Flaw Patching

Go down 
3 posters
PengirimMessage
PrOReBeLL
Paling Cool Di PCT
Paling Cool Di PCT
PrOReBeLL


Jumlah posting : 140
Join date : 13.09.10
Lokasi : Pekanbaru

SQL Injection Flaw Patching Empty
PostSubyek: SQL Injection Flaw Patching   SQL Injection Flaw Patching EmptyMon Oct 11, 2010 7:49 pm

Hmm Seorang hacker jangan hanya bisa melakukan attack, tpi persiapkan juga untuk defendnya seperti membantu admin yg kita depes ato hack melakukan pacth terhadap sitenya ...

Langsung saja...

Patch untuk mencegah serangan SQL Injection di halaman dinamis pada PHP + MySQL.
Biasanya halaman dinamis ini
bentuknya kayak gini [You must be registered and logged in to see this link.]

Bentuk umum kode di halaman dinamis php untuk membaca database melalui MySQL :
PHP Code:
Code:
$id = htmlentities($_GET['id']);
$variabel = mysql_query("select *from tabeltarget where idtarget='$id'")

Injection Flaw terjadi karena inputnya gak kefilter dengan baik. Sehingga input ‘$id’ yang seharusnya diisi dengan (biasanya) angka bisa diisi dengan query SQL.. Yang mengakibatkan query SQL tersebut dieksekusi sehingga injector bisa melakukan berbagai hal misalnya membaca isi database, membaca suatu file di situs tersebut, dll.

Nah, untuk mencegah hal tersebut sebaiknya kita memfilter inputnya sebelum diproses dengan SQL.

Contoh kode filternya :
PHP Code:
Code:
[error_reporting(0);
class filter{
function filtering($id){
$idfilter = mysql_real_escape_string($id);
if (!ctype_digit($idfilter))
{
echo "Can't process your request, dude :P ";
exit;
}
else if ($idfilter <= 0)
{
echo "Can't process your request, dude :P ";
exit;
}
else
{
return $id;
}
}
}
$Filter2 = new filter();
$id = htmlentities($_GET['id']);
$secured = $Filter2->filtering($id);
$variabel = mysql_query("select *from tabeltarget where idtarget='$secured'")

Penjelasan :

Pertama-tama menggunakan error_reporting(0); . Kode tersebut digunakan untuk mendisable error reporting sehingga jika terjadi error tidak keluar pesan error.

Selanjutnya variabel $id disaring dulu menggunakan mysql_real_escape_string yang berfungsi untuk menambahkan slash (\) apabila ada tanda kutip pada input $id.

Setelah disaring dengan mysql_real_escape_string, disaring lagi dengan melakukan pengecekan apakah inputnya berupa angka atau bukan dengan menggunakan kode !ctype_digit . Jika ternyata bukan angka maka akan ditolak. Selain pengecekan input apakah angka atau bukan, dilakukan juga pengecekan apakah inputnya sama atau lebih kecil dari 0 (minus) jika iya maka akan ditolak.

Abis itu baru deh aplikasikan ke syntax SQL-nya.

Untuk lebih jelasnya silahkan baca ulang kode sebelum difilter dan setelah difilter berkali-kali sampai paham.
Kembali Ke Atas Go down
http://prorebell.blogspot.com/
White_ID
Members PCT
Members PCT
White_ID


Jumlah posting : 15
Join date : 17.09.10

SQL Injection Flaw Patching Empty
PostSubyek: Re: SQL Injection Flaw Patching   SQL Injection Flaw Patching EmptyTue Oct 12, 2010 5:25 pm

PrOReBeLL wrote:
Hmm Seorang hacker jangan hanya bisa melakukan attack, tpi persiapkan juga untuk defendnya seperti membantu admin yg kita depes ato hack melakukan pacth terhadap sitenya ...

Langsung saja...

Patch untuk mencegah serangan SQL Injection di halaman dinamis pada PHP + MySQL.
Biasanya halaman dinamis ini
bentuknya kayak gini [You must be registered and logged in to see this link.]

Bentuk umum kode di halaman dinamis php untuk membaca database melalui MySQL :
PHP Code:
Code:
$id = htmlentities($_GET['id']);
$variabel = mysql_query("select *from tabeltarget where idtarget='$id'")

Injection Flaw terjadi karena inputnya gak kefilter dengan baik. Sehingga input ‘$id’ yang seharusnya diisi dengan (biasanya) angka bisa diisi dengan query SQL.. Yang mengakibatkan query SQL tersebut dieksekusi sehingga injector bisa melakukan berbagai hal misalnya membaca isi database, membaca suatu file di situs tersebut, dll.

Nah, untuk mencegah hal tersebut sebaiknya kita memfilter inputnya sebelum diproses dengan SQL.

Contoh kode filternya :
PHP Code:
Code:
[error_reporting(0);
class filter{
function filtering($id){
$idfilter = mysql_real_escape_string($id);
if (!ctype_digit($idfilter))
{
echo "Can't process your request, dude :P ";
exit;
}
else if ($idfilter <= 0)
{
echo "Can't process your request, dude :P ";
exit;
}
else
{
return $id;
}
}
}
$Filter2 = new filter();
$id = htmlentities($_GET['id']);
$secured = $Filter2->filtering($id);
$variabel = mysql_query("select *from tabeltarget where idtarget='$secured'")

Penjelasan :

Pertama-tama menggunakan error_reporting(0); . Kode tersebut digunakan untuk mendisable error reporting sehingga jika terjadi error tidak keluar pesan error.

Selanjutnya variabel $id disaring dulu menggunakan mysql_real_escape_string yang berfungsi untuk menambahkan slash (\) apabila ada tanda kutip pada input $id.

Setelah disaring dengan mysql_real_escape_string, disaring lagi dengan melakukan pengecekan apakah inputnya berupa angka atau bukan dengan menggunakan kode !ctype_digit . Jika ternyata bukan angka maka akan ditolak. Selain pengecekan input apakah angka atau bukan, dilakukan juga pengecekan apakah inputnya sama atau lebih kecil dari 0 (minus) jika iya maka akan ditolak.

Abis itu baru deh aplikasikan ke syntax SQL-nya.

Untuk lebih jelasnya silahkan baca ulang kode sebelum difilter dan setelah difilter berkali-kali sampai paham.



yakin tu gan????ehehhe
Kembali Ke Atas Go down
PrOReBeLL
Paling Cool Di PCT
Paling Cool Di PCT
PrOReBeLL


Jumlah posting : 140
Join date : 13.09.10
Lokasi : Pekanbaru

SQL Injection Flaw Patching Empty
PostSubyek: Re: SQL Injection Flaw Patching   SQL Injection Flaw Patching EmptyWed Oct 13, 2010 10:34 pm

yg ane dpt tutorial dri temen2 sih...blum gitu coba... tpi kalo agan mw coba tunggu apa lagi gan... lanjutkan Very Happy
Kembali Ke Atas Go down
http://prorebell.blogspot.com/
c0ns0l3
Neo Member
Neo Member



Jumlah posting : 3
Join date : 07.01.11

SQL Injection Flaw Patching Empty
PostSubyek: Re: SQL Injection Flaw Patching   SQL Injection Flaw Patching EmptyThu Jan 13, 2011 5:46 pm

owh.. jadi tau ane gan
Kembali Ke Atas Go down
Sponsored content





SQL Injection Flaw Patching Empty
PostSubyek: Re: SQL Injection Flaw Patching   SQL Injection Flaw Patching Empty

Kembali Ke Atas Go down
 
SQL Injection Flaw Patching
Kembali Ke Atas 
Halaman 1 dari 1
 Similar topics
-
» ASP Nuke SQL Injection Vulnerability
» Spaceacre Multiple SQL Injection Vulnerability
» Joomla Component (com_content) SQL Injection Vulnerability
» Joomla Component (com_ezautos) SQL Injection Vulnerability
» Havij v1.12 Advanced SQL Injection (wajib buat newbie)

Permissions in this forum:Anda tidak dapat menjawab topik
Underground Cyber Community :: Hacking :: Show Off-
Navigasi: