ada beberapa cara yang bisa kita lakukan untuk mengatasi serangan SQL injection , kita bisa membuat script anti SQL injection dengan memanfaatkan fungsi bawan dari PHP yaitu mysql_real_escape atau mysql_real_escape_string. cara penggunaanya adalah sebagai berikut :
$id = mysql_real_escape_string($_GET['id']);
selain cara di atas, ada beberapa tips aplikatif yang bisa anda gunakan untuk mengamankan web anda dari serangan SQL injection, berikut ini tips nya :
- Batasi panjang input box (jika memungkinkan), dengan cara membatasinya di kode program, jadi si cracker pemula akan bingung sejenak melihat input box nya gak bisa diinject dengan perintah yang panjang.
- Filter input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input Validation).
- Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.
- Matikan fasilitas-fasilitas standar seperti Stored Procedures, Extended Stored Procedures jika memungkinkan.
- Ubah “Startup and run SQL Server” menggunakan low privilege user di SQL Server Security tab.
Tools Yang Digunakan Untuk SQL Injection
Hanya sebagai pengetahuan saja tentang toosls yang bisa anda gunakan untuk melakukan uji coba keamanan aplikasi yang sedang anda kembangkan terkait masalah SQL inkection, berikut ini tools yang sering diguanakan :
- BSQL Hacker adalah sebuah toold yang Dikembangkan oleh Portcullis Labs, BSQL Hacker adalah SQL injection yang di rancang untuk mengeksplor hampir seluruh jenis data base.
- Havij adalah SQL Injection otomatis alat yang membantu penguji penetrasi untuk mencari dan mengeksploitasi kelemahan SQL Injection pada halaman web.
Sebenarnya masih banyak lagi tools yang bisa anda gunakan untuk ujicoba keamanan aplikasi yang sedang anda kembangkan dari serangan SQL injection.
EmoticonEmoticon