SQL Injection bisa terjadi karena keburukan pemrograman. Yang paling sering terjadi adalah karena input dari variable GET and POST langsung digunakan dalam sintax SQL tanpa validasi. contoh : terdapat sintax sql dalam PHP sbb: $sql = "select * from login where username='$username' and password = '$password'"; , dimana $username dan $password diberikan dari GET atau POST variable.
apabila kita memberikan isi username dan password misalnya 'ari' dan 'pass' makan sql akan seperti ini $sql = "select * from login where username='ari' and password='pass'"; tetapi coba kita memberikan password dengan string " ' or '1 " maka sql akan seperti ini = "select * from login where username = 'ari' and password='pass' or '1'"; dengan sql ini hasil selection akan selalu TRUE. hal seperti ini yang dikatakan sql injection, karena kita bisa inject sintax SQL (dalam hal ini OR) kedalam sql. Semoga membantu --Nasir On Tuesday 16 March 2004 23:44, Lintang Jati wrote: > Assalamu'alaikum Wr Wb > > dear All, > > mau tanya, kalau MS-SQL dan SQL Injection Attack, mungkin > udah sering denger dan liat, tapi bisa nggak hal yang sama > terjadi pada PHP dan MySQL ? Bisa beri contoh nggak gimana > sintaks SQL yang harus dimasukkan ? Barusan browsing, dan > hanya menemukan contoh vulnerabilities di phpYaBB dll, > nggak jelas gimana sintaks SQL nya. > > Sekian, terimakasih. > > Wassalamu'alaikum Wr Wb > =========================================================================== >================ Akses Internet Prabayar TELKOMNet-Prepaid, > nominal Rp.10.000- Rp.150.000. > Dapatkan di Plasa - Plasa TELKOM terdekat (khusus di Jawa > Timur)===================================================================== >====================== -- Berhenti langganan: [EMAIL PROTECTED] Arsip dan info: http://linux.or.id/milis.php
