Tutorial Menutup SQL Injection pada Admin Login - Blog Indonesian Code Party

Tutorial Menutup SQL Injection pada Admin Login

Halo sobat party. Saya akan membagi tutorial cara menutup bug bypass login pada admin login.


Biasanya attacker melakukan serangan bypass admin pada login form seperti gambar diatas,
namun ada beberapa rangkaian kombinasi lain. Namun disini saya tidak akan menjelaskan caranya. Saya hanya menjelaskan cara menutup SQL Injection pada Admin Panel.

Pertama-tama, Teknik SQL Injection bisa digunakan untuk memanipulasi konten dari sebuah website,  salah satunya melewati administrator login. Teknik ini memanfaatkan kelemahan pada database. Oleh karena itu diperlukan usaha untuk memproteksi database tersebut,
sehingga hasil inputan user tidak bisa digunakan untuk membypass admin login atau
bahkan untuk mengdeface (mengganti tampilan sebuah website).



Berikut adalah contoh bagian coding yang belum dirubah

$username = $_POST['user'];
$password = $_POST['pass'];

$query = mysqli_query($con, "SELECT * FROM users WHERE  password='$password' and username='$username'");
$row = mysqli_fetch_array($query);
$num_row = mysqli_num_rows($query);

Kita cukup menambahkan fungsi addslashes didepan $_POST
Lebih mudahnya coding sebelumnya dirubah menjadi berikut

$username = addslashes($_POST['user']);
$password = addslashes($_POST['pass']);

$query  = mysqli_query($con, "SELECT * FROM users WHERE  password='$password' and username='$username'");
$row = mysqli_fetch_array($query);
$num_row  = mysqli_num_rows($query);

Nah itu adalah cara agar Admin Login websitemu tidak bisa di bypass oleh seseorang yang tidak bertanggung jawab. Terima kasih.



Posting Komentar

0 Komentar