Pada dasarnya SQL INJECTION adalah teknik menyalah gunakan sebuah celah keamanan website atau bisa di sebut juga teknik untuk memasuki/menerobos/melihat database dari variabel GET pada url supaya attacker bisa mengetahui semau rahasia-rahasia penting dalam website anda.
Untuk Path BUG SQL INJECTION disini kita menggunakan fungsi abs();
Fungsi abs(); di gunakan untuk mengembalikan nilai absolut dari sebuah nomor atau bisa juga untuk menghilangkan fungsi yang lain, kebanyakan attacker menyisipkan string atau ( ' ) pada ID sehingga website akan menampilkan sebuah error.
dengan adanya fungsi abs(); attacker tidak bisa menemukan error lagi pada saat memasukan string ke ID anda.
oke, disini saya memiliki sebuah file gallery.php
dengan source kode :
<?php
$id = $_GET['id'];
$ip = GETENV("REMOTE_ADDR");
$query = $koneksi->query("SELECT * FROM galeri WHERE id='$id'") or die($koneksi->error);
untuk Fix nya bisa di bilang cukup mudah
pada bagian
$id = $_GET['id']
kita sisipkan fungsi abs();
menjadi
$id = abs($_GET['id']);
nahh.. sekarang kalian bisa test dengan menambahkan string pada ID
contoh site.co.id/gallery.php?id=1'
Jangan lupa juga kunjungi http://zidan-zet.blogspot.com ea :v
Share This :
comment 0 comments
more_vert