tentang sebuah antisipasi bugs sql injection pada web, yang memanfaatkan kesalahan dalam penulisan
sintax, Untuk mencegah web php kita dikerjai dengan menggunakan sql injection kita
dapat menggunakan beberapa fungsi mysql untuk memfiter karakter karakter yang sekiranya dapat
menyababkan web kita dapat di injejksi.
Sebagian besar sql injection dilakukan dengan menyisipkan tanda petik (" ' ")
untuk menginjectsi. Jadi hal yang harus dilakukan untuk mencegah sql injecsi adalah
dengan cara mengakali tanda kutip agar menjadi string.
okekek langsung aja...
Fungsi yang dapat mencegah sql injection :
1.mysql_escape_string
Contoh :
$string = "The Injec'tion ";
$filter = mysql_escape_string($item);
printf("Hasil Filter : %s\n", $Filter);
Fungsi mysql_escape_string merubah "The Injec'tion" menjadi "The Injec\'tion"
2. mysql_real_escape_string
Contoh :
$kon = mysql_connect('localhost', 'mysql_user', 'mysql_password');
if (!$kon) {
die('Gak Konek: ' . mysql_error());
}
$string = "The Injec'tion's";
$filter = mysql_real_escape_string($string, $kon);
printf("Hasil Filter: %s\n", $filter);
Fungsi mysql_real_escape_string merubah "The Injec'tion's" menjadi "The Injec\'tion\'s"
Selebihnya silahkan rekan rekan berkreasi, sebenarnya masih banyak function yang berhubungan dengan ini,
segini aja tulisan yang sederhana saya. terimakasih sudah berkunjung.. :D
Tidak ada komentar:
Posting Komentar