Uploaded byMuhammadQosimAlFadhi
PDF, PPTX35 views

SQL Injection.pdf

Dokumen ini membahas teknik SQL injection melalui aplikasi login sederhana menggunakan PHP dan MySQL, termasuk contoh query dan metode untuk mengeksploitasi kelemahan keamanan. Disertakan juga cara-cara untuk mencegah SQL injection seperti menggunakan escape string dan bind parameter. Penjelasan lebih lanjut mencakup manipulasi query dengan union untuk mengakses data sensitif dari tabel pengguna.

Embed presentation

Download as PDF, PPTX
SQL Injection Dhendra Marutho, S.Kom, M.Kom
Praktek SQL Injection • Buat Aplikasi Login Sederhana Menggunakan PHP dan HTML dengan database MySQL • Buat Database dbblog / yg lain kemudian buat table user • Buat File PHP • config.php • login.php • Index.php • Blog.php • Post.php
Buat dbblog • Eksekusi SQL
config.php
login.php
Index.php
SQL Injection • Jika mengetahui Username tetapi tidak mengetahui password • Contoh • Select * from tbl_user WHERE username = 'admin’ AND password = '1234'; contoh query normal • Lakukan injeksi pada belakang username → Select * from tbl_user WHERE username = 'admin'-- ' AND password = '1234'; • Jika dilakukan pada program masukan pada input box username • admin’—[space] → yang berarti akan mengabaikan password pada username
SQL Injection • Jika tidak mengetahui Username dan password • Contoh • Select * from tbl_user WHERE username = 'admin’ AND password = '1234'; contoh query normal • Lakukan injeksi pada user name dengan logika OR • → Select * from tbl_user WHERE username = 'yyyy' OR 1=1 -- ‘ AND password = '1234’; • Atau di limit agar dapat satu data saja Select * from tbl_user WHERE username = 'yyyy' OR 1=1 LIMIT 1 -- ' AND password = '1234'; • Jika dilakukan pada program masukan pada input box username • yyyy' OR 1=1[space]--[space] → yang berarti akan mengabaikan password pada username
Bagaimana Cara Mengatasinya? • Menggunakan escape string • mysqli_real_escape_string(connection, escapestring) • https://www.tutorialspoint.com/php/php_function_mysqli_real_esca pe_string.htm • Menggunakan Bind Parameter • mysqli_stmt_bind_param($stmt, $types, $var1, $var2...); • https://www.tutorialspoint.com/php/php_function_mysqli_stmt_bin d_param.htm
mysqli_real_escape_string • Rubah penerimaan variable waktu dikirim dengan metode post menjadi seperti ini
mysqli_stmt_bind_param
SQL Injection Union • Buat halaman blog dan post • Berisi daftar list blog dan posting dari blog
Menampilkan List Blog
Menampilkan Detail Blog / Post • http://prakteksqlinjection.local/post.ph p?id=1
UNION • Lakukan pengecekan data hingga tidak ada error, itu menandakan table tersebut mempunyai kolom sejumlah yang kita test, pada query sql kita bisa menggabungkan beberapa hasil query menggunakan teknis union, dan jika menggunakan SQL Injection di simulasi query hasilnya seperti ini → Select * From tbl_post WHERE id = 1 UNION SELECT 1,2,3,4 • Jika sudah tahu jumlah tabelnya yang akan kita union kita bisa lakukan injection menggunakan query untuk mendapatkan user dan password dari web tersebut → id=9999 UNION SELECT 1, username, 3, password FROM tbl_user LIMIT 0,1 • Mencari table user pada table tablescema mysql • Select table_name from `TABLES` where TABLE_SCHEMA = 'dblatihan’ untuk mengetahui table apa saja yang ada • Jika sudah tau ada table apa saja, kita bisa lakukan penyerangan • id=9999 UNION SELECT 1, group_concat(username), 3, group_concat(password) FROM tbl_user LIMIT 0,1 • Mencegahnya dengan Menggunakan intval($variable)

More Related Content

PPTX
sqlinjection-230606224413-2efc0d99.pptx
byAhmadSyaifuddin35
 
DOC
Tutorial sql injection 23206054
byMohammad Haris
 
DOC
Hchandraleka konsep-sql-injection-menembus-login
byKehidupanku Ini
 
PPTX
SQL_INJECTION_pptxokokokkkkkkkkkkkk.pptx
byubedbaik
 
DOC
Injection sql
byKarnolis Sunkara
 
PPTX
Unsur Keamanan dalam Web
byGilangBagus6
 
PPTX
Aksi penyerangan SQL dan penjegahan
byFadlil Mantoeng
 
PDF
Modul pembuatan aplikasi login dengan php dan my sq lx
byHaswi Simeulue
 
sqlinjection-230606224413-2efc0d99.pptx
byAhmadSyaifuddin35
 
Tutorial sql injection 23206054
byMohammad Haris
 
Hchandraleka konsep-sql-injection-menembus-login
byKehidupanku Ini
 
SQL_INJECTION_pptxokokokkkkkkkkkkkk.pptx
byubedbaik
 
Injection sql
byKarnolis Sunkara
 
Unsur Keamanan dalam Web
byGilangBagus6
 
Aksi penyerangan SQL dan penjegahan
byFadlil Mantoeng
 
Modul pembuatan aplikasi login dengan php dan my sq lx
byHaswi Simeulue
 

Similar to SQL Injection.pdf

PDF
Modul pembuatan aplikasi login dengan php dan my sq lx
byMboard Philipe
 
PDF
Login php mysql
byZamtwo Tabuti
 
PPTX
MEMAHAMI SQL BASIC DARK CYBER SURABAYA.pptx
byFawaidAbdullah1
 
ODT
PELANGGARAN KODE ETIK BIDANG TI
byBrader Kampus
 
PDF
Login dengan-session
byzebrenitza
 
PDF
Sql injection exposed proof of concept
bylaila wulandari
 
PPTX
Website Application Security - SQL Injection
byAgus Setya R
 
DOCX
Jurnal kj
byNelly AV
 
PPTX
Tugas 1 KKPPL 3 Kelas XI 2 jp desai login php.pptx
byagus976983
 
PDF
Tutorial crud PHP
byCandra Adi Putra
 
PDF
13 php mysql 3 combining
byToni Tegar Sahidi
 
PDF
4. Bab 3 Web sasdadsadsadsadsadsaSecurity.pdf
byOctadinoHaryadi1
 
DOCX
Membuat form login dengan php mysql
byRaja Putra Media
 
PDF
Bongkar rahasia php
byAdang Sumitra
 
PDF
Belajar php 2015
byAdang Sumitra
 
PDF
php and mysql
byApriadi Oezil
 
PDF
aplikasi teknologi online - aplikasi database berbasis web
byMateri Kuliah Online
 
PPTX
SQL Injection
byIndriyanto Adi Prasetyo
 
PPTX
manipulasi data
byFransiskus Deddy
 
DOCX
user.docx
byFajar Baskoro
 
Modul pembuatan aplikasi login dengan php dan my sq lx
byMboard Philipe
 
Login php mysql
byZamtwo Tabuti
 
MEMAHAMI SQL BASIC DARK CYBER SURABAYA.pptx
byFawaidAbdullah1
 
PELANGGARAN KODE ETIK BIDANG TI
byBrader Kampus
 
Login dengan-session
byzebrenitza
 
Sql injection exposed proof of concept
bylaila wulandari
 
Website Application Security - SQL Injection
byAgus Setya R
 
Jurnal kj
byNelly AV
 
Tugas 1 KKPPL 3 Kelas XI 2 jp desai login php.pptx
byagus976983
 
Tutorial crud PHP
byCandra Adi Putra
 
13 php mysql 3 combining
byToni Tegar Sahidi
 
4. Bab 3 Web sasdadsadsadsadsadsaSecurity.pdf
byOctadinoHaryadi1
 
Membuat form login dengan php mysql
byRaja Putra Media
 
Bongkar rahasia php
byAdang Sumitra
 
Belajar php 2015
byAdang Sumitra
 
php and mysql
byApriadi Oezil
 
aplikasi teknologi online - aplikasi database berbasis web
byMateri Kuliah Online
 
SQL Injection
byIndriyanto Adi Prasetyo
 
manipulasi data
byFransiskus Deddy
 
user.docx
byFajar Baskoro
 

SQL Injection.pdf

  • 1.
  • 2.
    Praktek SQL Injection •Buat Aplikasi Login Sederhana Menggunakan PHP dan HTML dengan database MySQL • Buat Database dbblog / yg lain kemudian buat table user • Buat File PHP • config.php • login.php • Index.php • Blog.php • Post.php
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
    SQL Injection • Jikamengetahui Username tetapi tidak mengetahui password • Contoh • Select * from tbl_user WHERE username = 'admin’ AND password = '1234'; contoh query normal • Lakukan injeksi pada belakang username → Select * from tbl_user WHERE username = 'admin'-- ' AND password = '1234'; • Jika dilakukan pada program masukan pada input box username • admin’—[space] → yang berarti akan mengabaikan password pada username
  • 8.
    SQL Injection • Jikatidak mengetahui Username dan password • Contoh • Select * from tbl_user WHERE username = 'admin’ AND password = '1234'; contoh query normal • Lakukan injeksi pada user name dengan logika OR • → Select * from tbl_user WHERE username = 'yyyy' OR 1=1 -- ‘ AND password = '1234’; • Atau di limit agar dapat satu data saja Select * from tbl_user WHERE username = 'yyyy' OR 1=1 LIMIT 1 -- ' AND password = '1234'; • Jika dilakukan pada program masukan pada input box username • yyyy' OR 1=1[space]--[space] → yang berarti akan mengabaikan password pada username
  • 9.
    Bagaimana Cara Mengatasinya? •Menggunakan escape string • mysqli_real_escape_string(connection, escapestring) • https://www.tutorialspoint.com/php/php_function_mysqli_real_esca pe_string.htm • Menggunakan Bind Parameter • mysqli_stmt_bind_param($stmt, $types, $var1, $var2...); • https://www.tutorialspoint.com/php/php_function_mysqli_stmt_bin d_param.htm
  • 10.
    mysqli_real_escape_string • Rubah penerimaanvariable waktu dikirim dengan metode post menjadi seperti ini
  • 11.
  • 12.
    SQL Injection Union •Buat halaman blog dan post • Berisi daftar list blog dan posting dari blog
  • 13.
  • 14.
    Menampilkan Detail Blog /Post • http://prakteksqlinjection.local/post.ph p?id=1
  • 15.
    UNION • Lakukan pengecekandata hingga tidak ada error, itu menandakan table tersebut mempunyai kolom sejumlah yang kita test, pada query sql kita bisa menggabungkan beberapa hasil query menggunakan teknis union, dan jika menggunakan SQL Injection di simulasi query hasilnya seperti ini → Select * From tbl_post WHERE id = 1 UNION SELECT 1,2,3,4 • Jika sudah tahu jumlah tabelnya yang akan kita union kita bisa lakukan injection menggunakan query untuk mendapatkan user dan password dari web tersebut → id=9999 UNION SELECT 1, username, 3, password FROM tbl_user LIMIT 0,1 • Mencari table user pada table tablescema mysql • Select table_name from `TABLES` where TABLE_SCHEMA = 'dblatihan’ untuk mengetahui table apa saja yang ada • Jika sudah tau ada table apa saja, kita bisa lakukan penyerangan • id=9999 UNION SELECT 1, group_concat(username), 3, group_concat(password) FROM tbl_user LIMIT 0,1 • Mencegahnya dengan Menggunakan intval($variable)