[Tutor] Cara mencegah SQL Injection

[android2009]

Untuk mencegah terjadinya SQL Injection maka input harus di filter terlebih dahulu untuk menghilangkan karakter-karakter yang tidak diinginkan

ini contoh sebuah fungsi untuk mem-filter input dari user

anggap saja nama filenya adalah sqlfilter.php

Code:

<?php
function SQLFilter($val){
// Karakter yang sering digunakan untuk sqlInjection
$char = array ('-','/','\\',',','.','#',':',';','\'','"',"'",'[',']','{','}',')','(','|','`','~','!','@','%','$','^','&','*','=','?','+');

// Hilangkan karakter yang telah disebutkan di array $char
$cleanval = str_replace($char, '', trim($val));

return $cleanval;
}
?>

contoh

index.php

Code:

<?php
include 'connect.php'; //anggap saja semua koneksi sudah beres
include 'sqlfilter.php'; //sertakan file sqlfilter.php

$id = SQLFilter($_GET[id]); //saring input dari user
$hasil = mysql_query("SELECT * FROM user WHERE id=$id");
while ($row = mysql_fetch_array($result)) {
  echo $row['username'];
  echo '<br />';
}
mysql_close();
?>

Semoga bermanfaat


Tambahan dari om

(03-11-2011 09:06 AM)wenkhairu Wrote:  tidak ada yang absolute dalam pengamanan data, tetapi apa yang di paparkan om android2009 tidak ada salahnya, ni ane punya sedikit validasi dalam pengamanan data ane, bisa dipake juga,

PHP Code:

<?php
/*
    Nama file    : class.validasi.php
    Kegunaan    : class untuk penanganan validasi pada data
    Author         : Khairu Aqsara
    Author site    : http://wenkhairu.net
*/

class Validasi extends Database
{
    /* Fungsi untuk menghapus semua karakter yang jelek kecuali spasi */        
    function validData($data)
    {
        return preg_replace('/[^a-zA-Z0-9\s]/', '', $data);
    }
        
    /* Fungsi untuk memeriksa data bertipe numeric */
    function dataNumeric($data)
    {
        if(is_numeric($data)) return true; else return false;
    }
        
    /* Fungsi untuk memfilter XSS */
    function validXSS($data)
    {
        return trim(htmlentities(strip_tags($data)));
    }
    
    /* fungsi untuk memfilter SQL injection */
    function validSql($data)
    {
        return mysql_real_escape_string($this->validData($this->validXSS($data)));
    }
    
    /* fungsi untuk memeriksa tipe data integer */
    function validInt($data)
    {
        if(is_integer($this->dataNumeric($data))) return true; else return false;    
    }
    
    /* fungsi untuk memriksa format email */
    function validEmail($email)
    {
        $format="/^.+@.+\..+$/";
        $email=strtolower($email);
        if(preg_match($format,$email)) return true; else return false;
    }
    
    /* format untuk memeriksa format URL */
    function validUrl($url)
    {
        $format="/^(http|https):\/\/[a-z0-9]+([\-\.]{1}[a-z0-9]+)*\.[a-z]{2,5}(([0-9]{1,5})?\/.*)?$/";
        $url=strtolower($url);
        if(preg_match($format,$url)) return true; else return false;
    }
    
    /* Fungsi untuk memeriksa tipe gambar */
    function validImg($tipe)
    {
        $tipeBoleh=array('image/jpeg','image/jpg','image/gif','image/png','image/bmp');
        if(in_array($tipe,$tipeBoleh)) return true; else return false;
    }
    
    /* fungsi untuk memeriksa panjang karakter */
    function validPanjang($data,$min,$max)
    {
        $data=$this->validData($data);
        $min=$this->dataNumeric($this->validInt($min));
        $max=$this->dataNumeric($this->validInt($max));
        if(strlen($data) <= $min || strlen($data) >= $max) return true;else return false;
    }
    
    /* fungsi memeriksa keberadaan file */
    function validFile($file,$lokasi)
    {
        if(file_exists($lokasi."".$file) && is_file($lokasi."".$file)) return true;else return false;
    }
    
    /* fungsi memeriksa tipe file */
    function validTipeFile($file)
    {
        $tipeBoleh=array('zip','rar','doc','docx','txt','pdf','tar','tar.gz','gz','rtf');
        $tipe=explode('.',$this->validData($file));
        if(in_array($this->validData($tipe),$tipeBoleh)) return true; else return false;
    }    
}
?>

[zer03s]

PERTAMAX....

keren om,,

[Sudden_death]

nice share om,, keep share

[Liyan oz]

keren om ngerti ane ...
jadi gini dalam pemrosesan:
$username=$_POST['username'];
$pass=$_POST['password'];

kemudian melakukan pemrosesan user yaitu
$sql="SELECT * FROM user WHERE username='$username' AND password='$pass'"
jika tanpa filter kode diatas akan mudah disusupi SQL Injection. Dengan fungsi di atas kita bisa memfilter parameter yang kita inputkan

$safeusername=SQLFilter($_POST['username']);
$safepass=SQLFilter($_POST['password']);

kemudian baru kita lakukan pemrosesan mengambil data user.
$sql="SELECT * FROM user WHERE username='$safeusername' AND password='$safepass'"


betul gak om ??? tapi gimana kalo pada $char nya diinput karakter yang lainnya kayak UNIOn,, dll bisa ga ??

yang itu belum coba om

[android2009]

iya kodingnya udah betul
bisa bro, tinggal tambahkan ke array aja

[Matmund Newbie]

kya di blog'a dewa kusen...... hha
nice tut oms

[Liyan oz]

sep om,, ane udah coba,, stelah webnya dtest pake havij sama SQL manual lancar,, tapi

kata temen saya masih ada yang kurang,, makany saya bingung kurangnya apa ya /

[android2009]

(02-07-2011 03:49 PM)matmund Wrote:  kya di blog'a dewa kusen...... hha
nice tut oms

aku juga dapet referensi dari kaskus bro
yg penting niat share & ngerti algoritmanya aja

[anbu]

ka aku mau tanya donk

aku punya web aku dah kasih filtering kya begitu kok masih bisa di injeksi yah??

[android2009]

(02-09-2011 04:18 AM)ade yonatan Wrote:  ka aku mau tanya donk

aku punya web aku dah kasih filtering kya begitu kok masih bisa di injeksi yah??

kalo masih bisa di inject terus mending pake mod_rewrite aja suhu