Sql Injection

Sql Injection adalah salah satu teknik hacking dengan memanfaatkan celah dari aplikasi yang tersambung ke database. Metode ini sering digunakan para hacker untuk melakukan pentration testing terhadap website/Aplikasi. Penyebab Sql Injection adalah developer yang kurang teliti dalam melakukan penyaringan inputan pengguna, Sehingga beberapa karakter bisa lolos menjadi Syntax pada Sql/Query.

> Bagaimana cara kerja Sql Injection ?

 Saya akan berikan contoh
 Misalkan pada Form Login Visual Basic anda membuat Code seperti ini :
 

"Select * From User Where username='" & txtUser.text & "' and password='" & txtPassword.text & "'"

Apabila masukan pengguna adalah :
Username : Terserah
Password : ' or 'a'='a

Maka Query yang anda buat menjadi :

Select * From User Where username='Terserah' and password='' or 'a'='a'

Definisi dari Query tersebut adalah Pilih dari tabel User dimana Username=Terserah dan Password=null atau a=a.
Karena a itu memang bernilai a maka otomatis pengguna pasti bisa Login tanpa harus mengetahui username ataupun passwordnya.
Bayangkan jika ini dilakukan pada Operasi Update ataupun Delete, maka sudah pasti semua data akan terupdate atau juga terhapus.

> Cara Pencegahan Sql Injection

1. Filter karakter Inputan yang bisa membuat lolos Query.

2. Melakukan enkripsi sebelum data dimasukan ke Query.

Dan banyak lagi cara yang lainnya tergantung pengetahuan anda.
Berikut beberapa Aplikasi yang yang memiliki kelemahan tersebut

> Database
MS SQL Server, Oracle, MySQL, Postgres, DB2, MS Access, Sybase, Informix, 
dll.

> Developing Application

1. Perl and CGI scripts that access databases

2. ASP, JSP, PHP

3. XML, XSL and XSQL

4. JavaScript

5. VB, MFC, and other ODBC-based tools and APIs

6. DB specific Web-based applications and API’s

7. Reports and DB Applications

8. 3 and 4GL-based languages (C, OCI, Pro*C, and COBOL)  

Dll.

Sekian dulu artikel mengenai Sql Injection. Semoga dapat berguna untuk anda semuanya dalam pengamanan untuk pengembangan aplikasi.
Happy Coding :)