CoreBSD Wiki
Page
  • Show page
  • Old revisions
  • Backlinks
  • Export to Markdown
  • Export to PDF
  • Export Page to HTML/PDF
  • Back to top
    • Site
  • Recent Changes
  • Media Manager
  • Sitemap
    • User

    Page tools

  • Show page
  • Old revisions
  • Backlinks
  • Export to Markdown
  • Export to PDF
  • Export Page to HTML/PDF
  • Back to top

    • Site tools

  • Recent Changes
  • Media Manager
  • Sitemap

    • User tools
    Trace:

    Differences

    This shows you the differences between two versions of the page.

    Link to this comparison view

    Both sides previous revisionPrevious revision
    Next revision    		Previous revision
    coreartikel:apachephp [2005/10/27 14:24] androidscoreartikel:apachephp [2025/10/25 17:09] (current) – external edit 127.0.0.1
    Line 53: Line 53:
      
     Sql injection adalah proses penginputan command query sql ke dalam database melalui web browser, contoh : Sql injection adalah proses penginputan command query sql ke dalam database melalui web browser, contoh :
    -  $query='SELECT * FROM User WHERE password="' . $pass. '"';+  $query='SELECT * FROM User WHERE id="' . $user. '"' and password="' . $pass. '"';
      
     dengan sql injection kita bisa memasukan input seperti : dengan sql injection kita bisa memasukan input seperti :
    Line 59: Line 59:
       pass:' or 1=1--   pass:' or 1=1--
     artinya yang kalo di terjemahkan dalam query sql akan seperti artinya yang kalo di terjemahkan dalam query sql akan seperti
    -  'SELECT * FROM User WHERE password=""' OR 1=1+  'SELECT * FROM User WHERE id=""' OR 1=1-- and password=""' OR 1=1--
     tanda "-- --" berarti setelah command query tersebut command query di belakangnya tidak di eksekusi, dan ini juga berarti dengan sql injection kita membypass spasi/karakter kosong dari inputan dengan sebuah string injection. \\  tanda "-- --" berarti setelah command query tersebut command query di belakangnya tidak di eksekusi, dan ini juga berarti dengan sql injection kita membypass spasi/karakter kosong dari inputan dengan sebuah string injection. \\ 
     \\   \\  
     Untuk mencegah sql injection bisa di lakukan filter terhadap inputan yang masuk atau dengan meng**__//On//__**kan option **Magic_quote_gpc** yang terdapat di php.ini,hasil inputan setelah magic_quote_gpc di enable kan Untuk mencegah sql injection bisa di lakukan filter terhadap inputan yang masuk atau dengan meng**__//On//__**kan option **Magic_quote_gpc** yang terdapat di php.ini,hasil inputan setelah magic_quote_gpc di enable kan
    -  'SELECT * FROM User WHERE password="\"\' OR 1=1+  'SELECT * FROM User WHERE id="\"\' OR 1=1-- and password="\"\' OR 1=1--
      
     ==== Cross Site Scripting (XSS) ==== ==== Cross Site Scripting (XSS) ====
     +
     +Cross Site Scripting adalah suatu inject pada aplikasi web dengan memanfaatkan metode **HTTP GET**/**HTTP POST**, xss di manfaatkan untuk mendapatkan cookie, account hijacking, dengan menginputkan suatu script inject , contoh:
     +  <script>alert(document.cookie)</script>
     +  <script>alert(window.location)</script>
     +  <script>alert("test xss")</script>
     +dari contoh akan di tampilkan pesan error dari server atau aplikasi yang mengatakan bahwa server/aplikasi gagal mencari request yang diminta oleh browser, selanjutnya pesan error ini bisa di manfaatkan sebagai indikasi adanya xss vulnerable.\\ 
     +\\ 
     +Filtering terhadap beberapa karakter seperti:
     +   "<",">","/","(",")",","'","/<script[^>]+src/i","/<script((\s+\w+(\s*=\s*(?:"(.)*?"|'(.)*?'|[^'">\s]+))?)+\s*|\s*)src/i"
     +sangat efektif untuk mencegah xss code.
      
     ===== Tips ===== ===== Tips =====
    coreartikel/apachephp.1130397876.txt.gz · Last modified: (external edit)