Pengertian SQL
Sebelum memulai ada baiknya kita mengetahui apa itu SQL. SQL atau Structured Query Language yaitu bahasa yang dirancang khusus untuk komunikasi dengan database. Tidak seperti bahasa-bahasa lainnya (seperti bahasa C, basic, pascal atau bahasa pemprograman yang lain) Bahasa SQL sengaja di rancang untuk melakukan hal secara sederhana dan efisien untuk membaca dan menulis data dari suatu database.
Manfaat dari SQl bermacam-macam, diantaranya :
-SQL bukanlah bahasa kepemilikan yang digunakan oleh vendor database perorangan.
-Hampir semua database besar mendukung SQL, sehingga dengan mempelajari bahasa SQL, anda dapat berinteraksi dengan hampir seluruh database besar yang beredar seperti Ms. SQL server, Oracle, Ms. Access, atau MySQL.
-SQL mudah dipelajari, karena semua statement dibuat berdasarkan kata-kata dalam bahasa inggris yang umum. SQL benar-benar suatu bahasa yang kuat, dan dengan kepandaian menggunakan unsur-unsur bahasa tersebut, anda dapat melakukan pengoperasian database yang kompleks dan sulit.
Nah, setelah mengetahui tentang pengertian SQL sekarang kita akan mempelajari apa itu SQL Injection. Di dunia per-hacking an SQL Injection merupakan sebuah nama besar, dan akhir-akhir ini juga marak diperbincangkan di dunia maya.
Pengertian SQL Injection
SQL Injection merupakan sebuah metode untuk memnfaatkan aplikasi web yang menggunakan database (yang kebanyakan adalah SQL).
Pada dasarnya SQL Injection adalah memasukkan perintah-perintah standar yang terdapat pada SQL, seperti : Create, Insert, Update, Drop serta perintah lainnya.
Berikut ini adalah sebab terjadinya SQL Injection :
1. Tidak adanya penanganan terhadap karakter – karakter tanda petik satu ’ dan juga karakter double minus -- yang menyebabkan suatu aplikasi dapat disisipi dengan perintah SQL.
2. Sehingga seorang Hacker menyisipkan perintah SQL kedalam suatu parameter maupun suatu form.
Bug SQL Injection, apakah berbahaya?
1. Teknik ini memungkinkan seseorang dapat login kedalam sistem tanpa harus memiliki account.
2. Selain itu SQL injection juga memungkinkan seseorang merubah, menghapus, maupun menambahkan data–data yang berada didalam database.
3. Bahkan yang lebih berbahaya lagi yaitu mematikan database itu sendiri, sehingga tidak bisa memberi layanan kepada web server.
Apa saja yang diperlukan untuk melakukan SQL Injection ?
1) Internet Exploler / Browser
2) PC yang terhubung internet
3) Program atau software seperti softice (optional)
Contoh memasukkan script SQL :
http://situs_target.com/news.asp?id=1;or1=1--
perhatikan pada bagian akhir terdapat teks: ;or1=1-- itu adalah salah satu kode SQL yang dapat dimasukkan. Jika anda ingin mengetahui kode SQL lainnya, sebaiknya anda mempelajari SQL lebih mendalam.
Contoh sintak SQL dalam PHP
1) $SQL = “select * from login where username =’$username’ and password = ‘$password’”; , {dari GET atau POST variable }2) isikan password dengan string ’ or ’’ = ’
3) hasilnya maka SQL akan seperti ini = “select * from login where username = ’$username’ and password=’pass’ or ‘=′”; , { dengan SQL ini hasil selection akan selalu TRUE }
4) maka kita bisa inject sintax SQL (dalam hal ini OR) kedalam SQL
melalui SQL Injection anda dapat memaksa terjadinya error page seperti pada perintah
;or1=1-- tersebut.
Contoh sintaks SQL Injection
SQL Injection melalui URL, contohnya :
http://10.252.108.232/web1/index.php?option=product.php&status=1;update barang set harga = 50 where harga = 50 where barangID=9;
oh iya dari berbagai jenis SQL, yang paling rentan terhadap serangan SQL Injection adalah MS-SQL. Sekian pembahasan dari saya, apbila ada yang salah atau kurang lengkap harap dimaklumi..masih newbie nie aq ^^ terima kasih telah mampir ke blog saya..
