Cara Mudah Mengatasi SQL Injection

Keamanan sebuah website dari serangan hacker adalah poin penting yang harus diperhatikan untuk menjadi seorang developer website khusunya dalam mengatasi sql injection. Coba bayangkan saat kamu mendapat sebuah proyek website dan kamu tidak memperhatikan segi keamanan website lalu website tersebut mendapat serangan dari hacker tentunya hal ini akan menurunkan existensi kamu menjadi seorang developer website bukan. Selama saya menjadi developer website, saya banyak melihat website yang masih sangat rentan dari serangan SQL Injection. Banyak dari website tersebut langsung mengeksekusi value secara mentah-mentah tanpa melakukan penyaringan value tersebut. Dan pada artikel ini saya akan menunjukan cara mengatasi celah keamanan SQL Injection. Mari simak lebih lanjut.

Cara Mudah Mengatasi Serangan SQL Injection

Penjelasan SQL Injection

Apa itu SQL Injection ? SQL injection adalah serangan yang memanfaatkan kelalaian dari website yang mengijinkan user untuk menginputkan data tertentu tanpa melakukan filter terhadap malicious character.

Sebagai contoh, dalam website tentunya terdapat tag html yang memiliki class atau id. Nah jika saat user memiliki hak akses untuk menginput data maka user pun mampu menginput tag html yang kemudian saat data tersebut tampil dalam browser maka akan merusak tampilan dari halaman website. Atau saat data yang diinputkan dimasukan ke dalam Query dan user memasukan tanda petik satu maka Query langsung mengalami error dan mengeluarkan informasi tentang informasi database. Hal inilah yang dimanfaatkan oleh para hacker untuk menembus pertahanan website hingga akhirnya mampu mengambil alih website tersebut

Begitu berbahayanya serangan SQL Injection. Apa lagi jika hacker yang telah berpengalaman mungkin cukup 15 menit mampu mengambil alih kepemilikan website.

Program Mengatasi SQL Injection

Ini adalah cara yang saya gunakan dalam setiap pembuatan website yang saya buat. Programnya dalam bentuk method dan cara penggunaanya sangat mudah yaitu dengan cara memanggil method tersebut pada setiap penangkapan parameter GET atau POST sebelum dipakai dalam Query atau di tampilkan dalam browser. Berikut programnya :

function antiInjections($string) {
  $string = stripslashes($string);
  $string = strip_tags($string);
  $string = mysql_real_escape_string($string);
  return $string;
}

Program diatas adalah program untuk membuang segala malicius karakter/karakter jahat yang mampu merusak website. Saat menangkap nilai dari data yang dikirimkan menggunakan fungsi $_GET atau $_POST maka penangkapan ini harus menggunakan method antiInjection. Lihat contoh penggunaannya :

 

$nilai = antiInjections($_GET['nilai']);

Dari program diatas, Sebelum parameter nilai di masukan ke variabel $nilai maka akan di filter terlebih dahulu oleh method  antiInjections yang membuang seluruh karakter jahat yang dapat mengakibatkan error pada website.  Dengan demikian hasil inputan dari user tidak akan mengakibatkan error pada website kita.

Oke demikian tutorial bagaimana cara menangani serangan SQL Injection. Baca juga artikel tentang Cara Menggunakan SQL InjectionSemoga bermanfaat 🙂

Comments (1)

Terima Kasih Gan, Bantu Banget 🙂

Leave a comment