Anda tentu pernah dengar tentang SQL injection bukan, ia adalah salah satu cara hacker/cracker untuk memecah/mengodam/menukar data anda yang disimpan di dalan database SQL.
Mereka yang ingin melakukan SQL injection ini akan mencari entry point / attack surface / backdoor yang membolehkan mereka memecah masuk ke dalam database kita. Jadi untuk mengelakkan perkara ini berlaku, sebagai programmer kita perlu memastikan semua input yang dimasukkan oleh user valid dan tiada unsur hacking. Dalam istilah english, ia dipanggil sanitization of user inputs to decrease the attack surface. (mana tau kot2 anda nak googling lepas baca tutorial ni kan?).
function sql_quote( $value ){ if( get_magic_quotes_gpc() ) { $value = stripslashes( $value ); } //check if this function exists if( function_exists( "mysql_real_escape_string" ) ) { $value = mysql_real_escape_string( $value ); } //for PHP version < 4.3.0 use addslashes else { $value = addslashes( $value ); } return $value; }
Contoh penggunaan, saya ambil contoh mudah;
Katakan anda mempunyai variable $_POST[’username] . Jadi apa yang perlu anda lakukan sebelum melakukan apa2 SQL query adalah $username = sql_quote($_POST[’username’]);
sng bukan? tiada lagi ancaman sql injection.
Popularity: 32% [?]
March 25th, 2008 at 5:19 pm
oh..
selalunya SQL injection disebabkan oleh masalah ni je ke?
March 27th, 2008 at 3:36 pm
selalunya mmg diorang akan cari lubang untuk buat sql injection ni..jawapan nya ya kat sini,,
March 29th, 2008 at 6:28 am
asik
April 17th, 2008 at 12:12 am
Salam bro .. nice blog
harap leyh tukar links
oDiN’s last blog post..Hari terakhir umur belasan tahun
May 28th, 2008 at 9:16 am
Kureng paham …
Tapi takpe belajar pelan2
zool’s last blog post..Laman web / blog disiasat