Selasa, 31 Maret 2020

Cara patch bug SQL injection

Cara patch bug SQL injection


       Halo sobat IES-team, kali ini saya akan membahas tentang Cara patch bug SQL injection. Nah, buat kalian pemilik web atau developer web di simak yuk.

Apa itu SQL injection?

        SQL injection adalah sebuah bug yang dapat menyerang database kita, SQL injection sendiri tercipta karena kesalahan pada syntax saat mengkoneksikan antara web dengan database atau bisa juga karena tidak adanya filtering terhadap database. 

      Untuk bug yang satu ini sebaiknya jangan di anggap remeh karena seorang hacker bisa mengakses database kita dan mencuri data-data penting yang ada didalam database, misalnya:
  • Mencuri username dan password admin
       Apabila seseorang hacker sudah mencuri username dan password admin maka mereka akan mengakses dasboard admin dan yang paling mengkhawatirkan lagi yaitu mengupload sebuah shell lalu mengcrack cpanel kita.
  • Mencuri email dan password member
        Apabila website kita adalah sebuah website yang memiliki member teregister/terverifikasi seperti web loker,olshop,dll. Yang memiliki member maka kasus ini jangan di remehkan karena kasian member kita apabila akunnya di curi.
  • Mencuri data yang paling sensitif seperti kartu credit
         Untuk yang satu ini hanya berlaku pada website yang menyimpan data payment gateway membernya seperti olshop dan ibanking.

       Ok sekarang kita lanjut ke pembahasan cara patch bug  scriSQL.Berikut ini contoh script yang tidak memiliki filtering/vuln SQL:


<?php 
$conn = mysqli_connect("localhost","root","","sqli");
 if ($conn->connect_errno) {
    echo die("Failed to connect to MySQL: " . $conn->connect_error);
}
$id = $_GET['id']; 
$stmt = mysqli_query($conn, "SELECT * FROM user where id ='$id' "); 
    while($row = mysqli_fetch_array($stmt)){
?>