CoreBSD Wiki
Page
  • Show page
  • Old revisions
  • Backlinks
  • Export to Markdown
  • Export to PDF
  • Export Page to HTML/PDF
  • Back to top
    • Site
  • Recent Changes
  • Media Manager
  • Sitemap
    • User

    Page tools

  • Show page
  • Old revisions
  • Backlinks
  • Export to Markdown
  • Export to PDF
  • Export Page to HTML/PDF
  • Back to top

    • Site tools

  • Recent Changes
  • Media Manager
  • Sitemap

    • User tools
    Trace:

    Differences

    This shows you the differences between two versions of the page.

    Link to this comparison view

    Next revision    		Previous revision
    coreartikel:apachephp [2005/10/19 01:52] – created bangcoreartikel:apachephp [2025/10/25 17:09] (current) – external edit 127.0.0.1
    Line 51: Line 51:
      
     ==== SQL Injection ==== ==== SQL Injection ====
     +
     +Sql injection adalah proses penginputan command query sql ke dalam database melalui web browser, contoh :
     +  $query='SELECT * FROM User WHERE id="' . $user. '"' and password="' . $pass. '"';
     +
     +dengan sql injection kita bisa memasukan input seperti :
     +  user:' or 1=1--
     +  pass:' or 1=1--
     +artinya yang kalo di terjemahkan dalam query sql akan seperti
     +  'SELECT * FROM User WHERE id=""' OR 1=1-- and password=""' OR 1=1--
     +tanda "-- --" berarti setelah command query tersebut command query di belakangnya tidak di eksekusi, dan ini juga berarti dengan sql injection kita membypass spasi/karakter kosong dari inputan dengan sebuah string injection. \\ 
     +\\  
     +Untuk mencegah sql injection bisa di lakukan filter terhadap inputan yang masuk atau dengan meng**__//On//__**kan option **Magic_quote_gpc** yang terdapat di php.ini,hasil inputan setelah magic_quote_gpc di enable kan
     +  'SELECT * FROM User WHERE id="\"\' OR 1=1-- and password="\"\' OR 1=1--
      
     ==== Cross Site Scripting (XSS) ==== ==== Cross Site Scripting (XSS) ====
     +
     +Cross Site Scripting adalah suatu inject pada aplikasi web dengan memanfaatkan metode **HTTP GET**/**HTTP POST**, xss di manfaatkan untuk mendapatkan cookie, account hijacking, dengan menginputkan suatu script inject , contoh:
     +  <script>alert(document.cookie)</script>
     +  <script>alert(window.location)</script>
     +  <script>alert("test xss")</script>
     +dari contoh akan di tampilkan pesan error dari server atau aplikasi yang mengatakan bahwa server/aplikasi gagal mencari request yang diminta oleh browser, selanjutnya pesan error ini bisa di manfaatkan sebagai indikasi adanya xss vulnerable.\\ 
     +\\ 
     +Filtering terhadap beberapa karakter seperti:
     +   "<",">","/","(",")",","'","/<script[^>]+src/i","/<script((\s+\w+(\s*=\s*(?:"(.)*?"|'(.)*?'|[^'">\s]+))?)+\s*|\s*)src/i"
     +sangat efektif untuk mencegah xss code.
      
     ===== Tips ===== ===== Tips =====
    coreartikel/apachephp.1129661553.txt.gz · Last modified: (external edit)