Re: [ITCENTER] Re: Mohon Tips Pengamanan Website dari SQL Injection

Tue, 04 Sep 2007 21:22:40 -0700 

Mungkin kurang pas kalo SQL Injection penanggulangannya dari sisi konektifitas. 
Karena makhluk ini 
bukan menyerang melalui koneksi, tapi melalui entri data.

Dan bukan menyerang DB Server secara langsung. Tetapi melalui Server yang 
sebenarnya yang memiliki
koneksi ke DB Server serta memiliki hak akses.

Misal:
1. User membuka form aseli dari web anda. Dan mengisinya dengan keyboard. Jadi 
koneksinya ya tetep
    melalui koneksi yang sebenarnya. Masalahnya adalah user memasukkan 
perintah-perintah SQL pada
    form yang telah tersedia. Jadi menyeranganya bukan dari koneksinya.
2. User mengeksekusi secara lokal atau via address bar pada browser perintah 
SQLInjection.
    Kalo pada address bar contohnya seperti ini
    
http://www.websiteanda.com/index.php?p1=datayangbenar&p2=datayangadaSQLInjection&p3=dst

Lebih detilnya bisa dilihat disini http://en.wikipedia.org/wiki/SQL_injection.

Jadi penggunaan firewall, IP restriction, VPN dan DB Listener yang dipassword 
bukan solusi untuk 
masalah SQL Injection.

Solusinya ada disisi programming. Filterlah SQL Injection sebelum perintah yang 
berkaitan dengan DB 
Server dieksekusi. Ulasan sederhananya bisa dilihat pada link diatas.

Semoga membantu,
fajr_n


syiwabhairawa wrote:
> --- In [email protected], "Ronald Fargo" <[EMAIL PROTECTED]> wrote:
>> Dear Webmasters,
>>
>> Saat ini saya sedang belajar mengelola website, mohon bantu info script
>> untuk mencegah SQL Injection dengan menggunakan PHP.
> 
> 
> saya bukan DBA, jadi gak tahu banyak soal proteksi dari SQL level.
> Tapi dari sisi connectivity, mungkin anda bisa :
> a. menggunakan firewall, dan hanya IP tertentu yang bisa menghubungi
> DB server
> b. menggunakan VPN tunnel antara client dengan DB server
> c. menggunakan DB listener yang bisa dipassword
> 
> cara cara ini sudah di explore?
> 


-- 
www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia 
Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED] 

 
Yahoo! Groups Links

<*> To visit your group on the web, go to:
    http://groups.yahoo.com/group/ITCENTER/

<*> Your email settings:
    Individual Email | Traditional

<*> To change settings online go to:
    http://groups.yahoo.com/group/ITCENTER/join
    (Yahoo! ID required)

<*> To change settings via email:
    mailto:[EMAIL PROTECTED] 
    mailto:[EMAIL PROTECTED]

<*> To unsubscribe from this group, send an email to:
    [EMAIL PROTECTED]

<*> Your use of Yahoo! Groups is subject to:
    http://docs.yahoo.com/info/terms/

Kirim email ke