-=Explore The World From Our Binary=-
 
HomeIndeksPendaftaranLogin

Share | 
 

 SQL Injection Patching for PHP + MySQL

Topik sebelumnya Topik selanjutnya Go down 
PengirimMessage
zer03s!!!
Administrator
Administrator
avatar

Jumlah posting : 2471
Points : 4119
Reputation : 113
Join date : 13.12.10
Age : 25
Lokasi : /home/root/blackc0de

PostSubyek: SQL Injection Patching for PHP + MySQL   Thu Aug 25, 2011 11:01 pm

halo gan blackcoder kali ini ane coba jelasin cara sederhana untuk patch bug SQL Injection Flaw di halaman dinamis PHP + MySQL.

-----------------------------------------

[Pendahuluan]
Halaman dinamis adalah halaman yg isinya bisa berubah-ubah sesuai dengan parameternya. Misalnya index.php?id=1 maka isi dari halaman tersebut akan sesuai dengan parameter (kalau disni id) yang dimasukkan yaitu 1.

Biasanya orang membuat halaman dinamis di PHP menggunakan MySQL untuk bisa koneksi dengan database. Dan terkadang query SQL dalam file php yang bersangkutan tidak dibatasi sehingga memungkinkan seseorang menginjeksi query sql lewat parameter di file php tersebut. Kalau soal sql injection sendiri mungkin bisa liat trit lain yang sudah membahasnya sendiri.

[Bug]
Biasanya halaman dinamis kira-kira seperti ini kodenya untuk membaca parameter dan mengkoneksikannya dengan database.

Code:
$id = $_GET['id'];
    $db_query = mysql_query("SELECT * FROM namadb WHERE i

Karena $id tidak difilter maka seseorang bisa memasukkan query di situ sehingga akhirnya dijalankan oleh mysql_query.

[Patch]
Kita bisa memfilternya. Kira-kira kodenya seperti ini.

Code:
error_reporting(0);
     
          function filtering($id){
            $idf = mysql_real_escape_string($id);
            if (!ctype_digit($idf) || $idf < 0){
                exit;
            } else {
                return $id;
            }
          }

          $id = $_GET['id'];
          $idf = filtering($id);
          $db_query = mysql_query("SELECT * FROM namadb WH

error_reporting(0) berguna agar mysql tiidak mengeluarkan pesan error apabila terjadi error. Selanjutnya function filtering berguna untuk memfilter parameter masukan. Disini digunakan fungsi mysql_real_escape_string. Lalu dicek apabila parameter masukan mengandung karakter selain angka dan mempunyai nilai < 0 (biasanya orang akan me-minuskan parameter dalam melakukan sql injection) maka tidak akan dilanjutkan.

[Penutup]
Masih banyak cara lainnya. Ini hanya salah satu contoh. Sesuaikan saja dengan kode dari situs yang bersangkutan. Apabila ada yang salah mohon dikoreksi.
Kembali Ke Atas Go down
http://zer03s.blog.com/
CROZZYE
Top Nubie
Top Nubie


Jumlah posting : 47
Points : 119
Reputation : 2
Join date : 24.08.11

PostSubyek: Re: SQL Injection Patching for PHP + MySQL   Sun Aug 28, 2011 2:11 am

nice share om mimin :jempol1
Kembali Ke Atas Go down
nesta
VIP Member
VIP Member
avatar

Jumlah posting : 810
Points : 896
Reputation : 42
Join date : 04.08.11
Age : 30
Lokasi : depan komputer

PostSubyek: Re: SQL Injection Patching for PHP + MySQL   Sun Aug 28, 2011 6:43 am

nice info kang
Kembali Ke Atas Go down
http://www.hacker-newbie.org
v0idz_Newbie
Moderator
Moderator
avatar

Jumlah posting : 429
Points : 465
Reputation : 10
Join date : 16.06.11
Age : 24
Lokasi : bawah langit atas tanah

PostSubyek: Re: SQL Injection Patching for PHP + MySQL   Sun Aug 28, 2011 3:21 pm

wew, ini yang ane cari om. . .
thanks om zer03s. . .
ane sikat dolo om. . . :sukro:
Kembali Ke Atas Go down
blakesabbath
NuuBiiTooL
NuuBiiTooL
avatar

Jumlah posting : 8
Points : 10
Reputation : 0
Join date : 05.11.12
Lokasi : rj-45

PostSubyek: Re: SQL Injection Patching for PHP + MySQL   Mon Mar 11, 2013 12:07 pm

sikat ahh buat ngamanin web personal

thank you kang mimin
Kembali Ke Atas Go down
CyberWild
Moderator
Moderator
avatar

Jumlah posting : 1665
Points : 2310
Reputation : 104
Join date : 11.06.11
Age : 36
Lokasi : internet cloud

PostSubyek: Re: SQL Injection Patching for PHP + MySQL   Mon Mar 11, 2013 2:44 pm

mantap izin bookmark
Kembali Ke Atas Go down
http://cyberwild.p.ht/
kid_1412
Pro Nubie
Pro Nubie
avatar

Jumlah posting : 68
Points : 73
Reputation : 1
Join date : 07.07.11

PostSubyek: Re: SQL Injection Patching for PHP + MySQL   Mon Mar 11, 2013 4:11 pm

lumayan buat koleksi... ijin copy y om uzy...
Kembali Ke Atas Go down
robofics
VIP Member
VIP Member
avatar

Jumlah posting : 709
Points : 804
Reputation : 20
Join date : 22.12.11
Lokasi : /dev/null

PostSubyek: Re: SQL Injection Patching for PHP + MySQL   Tue Jun 25, 2013 11:56 am

variabelnya dibikin jadi absolute integer jg bisa kan om ?
$id = abs((int)$_GET['id']);

:minta:


Terakhir diubah oleh robofics tanggal Fri Jun 28, 2013 11:54 am, total 1 kali diubah
Kembali Ke Atas Go down
http://robofics.wordpress.com
ocim32
Pro Nubie
Pro Nubie
avatar

Jumlah posting : 59
Points : 65
Reputation : 2
Join date : 28.01.12

PostSubyek: Re: SQL Injection Patching for PHP + MySQL   Tue Jun 25, 2013 4:41 pm

mantab om...
Kembali Ke Atas Go down
robofics
VIP Member
VIP Member
avatar

Jumlah posting : 709
Points : 804
Reputation : 20
Join date : 22.12.11
Lokasi : /dev/null

PostSubyek: Re: SQL Injection Patching for PHP + MySQL   Fri Jun 28, 2013 12:10 pm

itu si om z3r0es yg mantab..ane mah nubitol om
Kembali Ke Atas Go down
http://robofics.wordpress.com
CyberWild
Moderator
Moderator
avatar

Jumlah posting : 1665
Points : 2310
Reputation : 104
Join date : 11.06.11
Age : 36
Lokasi : internet cloud

PostSubyek: Re: SQL Injection Patching for PHP + MySQL   Sun Jun 30, 2013 10:19 pm

keren. izin bookmark.
btw ada yg di update nih forum yah?
Kembali Ke Atas Go down
http://cyberwild.p.ht/
Sponsored content




PostSubyek: Re: SQL Injection Patching for PHP + MySQL   

Kembali Ke Atas Go down
 
SQL Injection Patching for PHP + MySQL
Topik sebelumnya Topik selanjutnya Kembali Ke Atas 
Halaman 1 dari 1
 Similar topics
-
» Injection Open Loop vs Close Loop
» WATER INJECTION (WAI) FOR N250R
» N250 Fuel injection Kit PNP
» (Ask) Ninja 250 Injection vs. Carbu
» Knalpot R9 Ninja 250 Injection 2013

Permissions in this forum:Anda tidak dapat menjawab topik
.:: Blackc0de Forum ::. :: Information Technology :: Security-
Navigasi: