» » Penanganan SQL Injection

Penanganan SQL Injection


 Penanganan SQL Injection

beberapa cara yang saya ketahui untuk menangani SQL INJECTION adalah sebagai berikut.
  1. merubah setting php.ini dan mengganti magic_quotes_gpc=off, magic_quotes_runtime= off, magic_quotes_sybase = off, di ubah menjadi ON semua, namun untuk setting php.ini du beberapa kasus masih bisa di bypass dengan mengupload php.ini milik sendiri yang sudah di modifikasi sebelumnya.
  2. menggunakan mysql_ecape_string($sql) sebelum di query menggunakan mysql_query();

Cara pencegahan SQL INJECtION

  1. batasi panjang input box (jika memungkinkan),dengan cara membatasinya di kode program, jadi si attacker akan bingung sejenak melihat input box nya gak bisa diInject dengan perintah yang panjang.
  2. filter input yang dimasukan oleh user, terutama penggunaan tanda kutip tunggal (input Validations)
  3. matikan atau sembunyikan pesan-pesan error yang keluar.
  4. matikan fasilitas-fasilitas standar seperti stored Produres, Extended stored procedures jika memungkinkan
Label:

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)
 
Aku hanyalah seorang blogger pemula, yang ingin belajar blogger dengan sendirinya
Linkers tux © BlackHat | Debian