. Kalo buat mimin/momod di delete/di pindahin ke yg semestinya aja 
. Oh iya buat scriptnya maaf kalo ada yg salah mungkin cardinal salah ketik Semua situs yang hadir di internet setiap harinya bisa di-hack. Walau dengan cara apapun, coder pastilah mempunyai daya pikir yang tinggi untuk menemukan celah-celah tersebut. Yang bisa Anda lakukan adalah menambal lubang-lubang yang ada. Berikutnya akan saya sajikan tips mencegah serangan hacker. MENCEGAH SQL INJECTION Pada contoh kasus nonachievement sql yang banyak terjadi dikarenakan penggunaan perintah $GET atau $POST method. Contoh playscript di bawah untuk mencegah constant dari ask injection Quote: <?php $id = abs((int) $_GET['id']); ?> Script di atas akan menghasilkan nilai positif untuk mem-filter nilai negatif yang dimanfaatkan sql injection MENCEGAH SQL INJECTION DENGAN MD5 Jika cara di atas menggunakan fungsi pada accumulation minus, sekarang adalah dengan menambah uncertain secara acak. Contoh url target: Quote:http://situstarget.com/berita.php?id=1 Contoh hasil yang didapat setelah uncertain ditambah dengan nilai acak: Quote:http://situstarget.com/berita.php?id=1&token=456cgfrtyhDFgdgfgkl6y564 Arti dari variabel minimal di contoh hasil, ketika di awal anda memberikan unification untuk menampilkan berita lain, maka id dari berita tersebut kita enkripsi seperti contoh playscript di bawah ini: Quote: <?php $token = md5(md5($id_berita).md5('kata acak')): //baris di bawah adalah utl berita <a href="berita.php?id=$id_berita&token;=$token">Judul Berita</a> ?> Selanjutnya adalah playscript untuk melakukan pengecekan terhadap inject: <?php $id_berita=$_GET['id_berita']; $token=$GET['token']; $cek=md5(md5($id_berita).md5('kata acak')); if($token==$cek){ //baris di bawah untuk memasukan structure gum menampilkan berita } else{ echo"Pesan terdeteksi SQL-an!!!"; } ?> [/QUOTE] Contoh di atas bila anda coba gunakan di CMS Anda MENCEGAH BLIND SQL INJECTION Biasanya pada modify login melakukan pengecekan ketika individual login yaitu dengan melakukan ask database secara langsung. Contoh dasarnya sebagai berikut: Quote: <?php $username = $_POST[username]; $password = $_POST[password]; $r=mysql_query("SELECT*FROM tbl_user WHERE username='$username' and countersign '$password'''); $jml_row=mysql_num_rows($r); if($jml_row > 0){ reflexion "Login Sukses"; } else{ reflexion "Login Gagal; } ?> Otorisasi login sepert di atas sangat rentan terhadap peneterasi SQL Injection. Solusi pertama adalah dengan melakukan enkripsi pada countersign yaitu dengan mengganti playscript berikut: Quote: <?php $password=md5($_POST[password]); ?> Solusi kedua yaitu dengan merubah algoritma menjadi: Quote: $d=mysql_fetch_array($r) if($jml_row >0 && ($d[password]==$password)) Dilihat dari playscript di atas bahwa Anda dapat menambah pengecekan inputan countersign terhadap countersign yang ada di database. Berikut adalah hasil dari playscript yang telah kita ubah tadi: Quote: <?php $username = $_POST[username]; $password=md5($_POST[password]); $r=mysql_query("SELECT*FROM tbl_user WHERE username='$username' and countersign '$password'''); $jml_row=mysql_num_rows($r); if($jml_row >0 && ($d[password]==$password)){ reflexion "Login Sukses"; } else{ reflexion "Login Gagal; } ?> Dari buku:1 Hari menjadi Hacker Karya:Andrea adelheid Buat yang mau nanya nanya ke dia cardinal kasih kontaknya: Email: andrea.adelheid@yahoo.com,official.andrea@gmail.com,adelphia.andrea@yahoo.c om, iMessage: official.andrea@gmail.com, andrea.adelheid@icould.com Twitter: @andreaadelheid Pin BB: 32E162B5 Line, WhatsApp, KakaoTalk, WeChat, eBuddy,:+6282366566777Custom HTML BawahCIF Cleaning
Tidak ada komentar:
Posting Komentar