On 9/5/07, JimBeam <[EMAIL PROTECTED]> wrote:
>
>
> wah saya sih tidak memulai dengan menyinggung SARA lho. :)
=================================================
Wah ngga sampai SARA lah, istilah bule itu sy pakai untuk mewakili
user yg english speaking tadi, biar singkat aja.. :)
> jadi intinya sql injection hanya bisa dilakukan di username dan password di
> halaman login? hmm....
===================================================
He he.. salah, bukan itu intinya. Kan saya bilang "biasanya", bukan
"hanya bisa". Intinya itu, proses penyaringan string adalah salah satu
hal yg bisa dilakukan untuk mencegah sql injection. Selain itu bisa
dengan pengaturan privillages pada database yang dipergunakan.
Misalnya, bagian web yang hanya berfungsi memperlihatkan data melalui
query select menggunakan user dengan privelege select saja. Bagian
situs yang berfungsi untuk memberi kesempatan pembaca untuk
berkomentar menggunakan user dengan privelege insert saja dst, jadi
ngga perlu filter string lagi.
> hmm...kalau memang ketemu user yg iseng gimana yah. trus kalau
> anda punya user sebanyak ratusan juta seperti yahoo rasanya hampir
> 99.99% pasti keyword seperti itu pernah digunakan utk username.
======================================================
Hah, 99% ?? bukan 68% ? :p
Kalaupun ada user yg iseng mau pake username itu, trus ngga mau
dibatasi, ya pake cara yg kedua aja, batasi privillages nya.
--
www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia
Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED]
Yahoo! Groups Links
<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/ITCENTER/
<*> Your email settings:
Individual Email | Traditional
<*> To change settings online go to:
http://groups.yahoo.com/group/ITCENTER/join
(Yahoo! ID required)
<*> To change settings via email:
mailto:[EMAIL PROTECTED]
mailto:[EMAIL PROTECTED]
<*> To unsubscribe from this group, send an email to:
[EMAIL PROTECTED]
<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/
