Hai semuanya. Bertemu lagi dengan saya Hengky Sanjaya. Kali ini saya akan membahasa tentang SQL INJECTION.

Apa itu Sql Injection ?

SQL Injection adalah sebuah aksi hacking yang dilakukan di aplikasi client dengan cara memodifikasi perintah SQL yang ada di memori aplikasi client dan juga merupakan teknik mengkeksploitasi web aplikasi yang didalamnya menggunakan database untuk penyimpanan data.

Tujuan SQL injection adalah agar hacker dapat masuk ke dalam sistem tanpa mengetahui username dan password dari sistem.

Untuk lebih jelas nya kita langsung masuk ke penerapan nya aja

Misal di database saya terdapat 2 data berarti sesuai dengan query diatas kita menggunakan logika AND berarti untuk menghasilkan output yang bernilai benar harus semua kondisi bernilai benar jika terdapat salah satu kondisi yang bernilai salah output tidak akan bernilai benar (true).

Dan dengan Sql Injection ini kita memanfaatkan logika OR artinya dengan salah satu kondisi bernilai benar saja ouput nya sudah bernilai benar. Dengan kata lain walaupun kita tidak mengetahui password ataupun username seseorang kita dapat mengakalinya dengan ini, contoh :

1 = 1 // ouput true

1 = 2 // ouput false

A = A // output true

Dengan kita menambahkan “or 1 = 1 “ output dari query diatas akan bernilai benar ( true ).

Cara mengatasi :

Saat pengambilan kodeuser dan password misal menggunakan method POST

Tambahkan “mysqli_escape_string” sehingga menjadi

sehingga saat user menginput kan spesial karakter seperti petik satu

contoh : test’

dengan menambahkan mysqli_escape_string akan diubah menjadi test\’ sehingga teknik sql injection diatas tidak akan menembusnya.

Sekian pembahasannya . Semoga bermanfaat bagi teman-teman semuanya. Sampai jumpa.

Thanks For W3Schools