Cara Mencegah Serangan SQL Injection pada Website

Salah satu serangan yang paling popular yang ditargetkan kepada adalah SQL Injection. Banyak website dan juga aplikasi web yang melakukan database lookup berdasarkan input dari pengguna, tanpa mengecek input tersebut, dari sinilah serangan SQL Injection dapat mengambil celah.

Banyak orang yang berpikir bahwa dengan menggunakan prosedur stored dapat mencegah serangan SQL Injection, tetapi mereka tidak mencegah sepenuhnya. Prosedur stored memang dapat membantu, tetapi tidak dapat memecahkan masalah beberapa kelas dari bugs. Seperti misalnya, prosedur stored dapat mencegah penggunaan query seperti xyzzy’ atau 1=1, tetapai tidak untuk serangan yang memanipulasi database atau skema, seperti misalnya “xyzzy); drop table sometable.

Salah satu cara yang bagus untuk mencegah serangan SQL injection adalah dengan menggunakan apa yang sering disebut sebagai parameterized queries atau placeholder queries. Pendeknya, kamu tidak menggunakan rangkaian string untuk membangun seperti queries, sebaliknya kamu menggunakan koneksi database dan fungsi query library untuk membangun SQL statement. Jadi, daripada menggunakan pseudocode, seperti dibawah ini:

String query = “select * from table where id=” + x;

Kita harusnya menggunakan pseudocode seperti dibawah ini:

String query = “select * from table where id=?”
SQLBindParameter(query,1,x);

Hal memperlakukan x sebagai parameter untuk query, jadi jika penyerang memasukan “98006′ atau 1=1-” dan akan menemukan bahwa keduanya tidak ada, bukan hanya menambahkannya ke akhir query SQL.

Jakartawebhosting.com menyediakan layanan Web Hosting, dengan kecepatan dan stabilitas pusat data dan server yang baik, up time server 99,9%, team support yang siap membantu 24 jam dan biaya langganan yang menarik