Apa metode yang disukai untuk mencegah php injeksi sql?

Apa itu Injeksi SQL?

SQL Injection adalah kerentanan berbasis kode yang memungkinkan penyerang membaca dan mengakses data sensitif dari database. Penyerang dapat melewati langkah-langkah keamanan aplikasi dan menggunakan kueri SQL untuk mengubah, menambah, memperbarui, atau menghapus catatan dalam database. Serangan injeksi SQL yang berhasil dapat berdampak buruk pada situs web atau aplikasi web yang menggunakan basis data relasional seperti MySQL, Oracle, atau SQL Server. Dalam beberapa tahun terakhir, ada banyak pelanggaran keamanan yang diakibatkan oleh serangan injeksi SQL

Dengan pemahaman dasar tentang 'apa itu SQL Injection', sekarang Anda akan melihat berbagai jenis SQL Injection

Program Magister Pakar Keamanan Siber

Jenis Injeksi SQL

In-band SQLi - Penyerang menggunakan saluran komunikasi yang sama untuk meluncurkan serangan mereka dan mengumpulkan hasil

Dua jenis injeksi SQL in-band yang umum adalah injeksi SQL berbasis Error dan injeksi SQL berbasis Union

1. Injeksi SQL berbasis kesalahan - Di sini, penyerang melakukan tindakan tertentu yang menyebabkan database menghasilkan pesan kesalahan. Dengan menggunakan pesan kesalahan, Anda dapat mengidentifikasi basis data apa yang digunakannya, versi server tempat penangan berada, dll
2. Injeksi SQL berbasis serikat - Di sini, operator UNION SQL digunakan dalam menggabungkan hasil dari dua atau lebih pernyataan pilihan yang dihasilkan oleh database, untuk mendapatkan respons HTTP tunggal. Anda dapat membuat kueri Anda di dalam URL atau menggabungkan beberapa pernyataan di dalam kolom input dan mencoba menghasilkan respons

Blind SQLi - Di sini, tidak mentransfer data melalui aplikasi web. Penyerang tidak dapat melihat hasil serangan di-band

1. Injeksi SQL berbasis Boolean - Di sini, penyerang akan mengirim kueri SQL ke database meminta aplikasi untuk mengembalikan hasil yang berbeda tergantung pada apakah kueri mengembalikan Benar atau Salah
2. Injeksi SQL Berbasis Waktu - Dalam serangan ini, penyerang mengirim kueri SQL ke database, yang membuat database menunggu selama waktu tertentu sebelum membagikan hasilnya. Waktu respons membantu penyerang untuk memutuskan apakah kueri itu Benar atau Salah

Out-of-bound SQL Injection - Out-of-bound tidak begitu populer, karena bergantung pada fitur yang diaktifkan pada server database yang digunakan oleh aplikasi web. Ini bisa seperti kesalahan konfigurasi oleh administrator basis data

Sekarang, saatnya untuk memahami topik penting lainnya dalam artikel berjudul 'Apa itu SQL Injection', i. e. , bagaimana cara mencegah injeksi SQL?

Bagaimana Cara Kerja SQL Pada Situs Web?

Sebuah situs web memiliki tiga komponen utama - Frontend, Backend, dan Database

Di bagian depan, situs web dirancang menggunakan HTML, CSS, dan JavaScript. Di backend, Anda memiliki bahasa skrip seperti Python, PHP, Perl, dll. Sisi server memiliki database seperti MySQL, Oracle, dan MS SQL Server, untuk mengeksekusi kueri.  

Saat Anda menulis kueri, biasanya Anda mengirim permintaan dapatkan ke situs web. Kemudian, Anda menerima respons dari situs web dengan kode HTML.  

Dengan menggunakan alat Postman API, Anda dapat menguji respons yang Anda dapatkan dari berbagai situs web

Kembangkan Karir Cybersecurity Anda dengan IIT-K

Demo tentang Injeksi SQL

• Buka Google Chrome atau browser web apa pun dan cari aplikasi web rusak owasp
• Klik pada sourceforge. tautan bersih
• Pilih opsi Unduh untuk mengunduh Proyek Aplikasi Web Rusak OWASP

Aplikasi ini telah dikembangkan oleh Proyek Keamanan Aplikasi Web Terbuka yang secara berkala merilis 10 risiko teratas yang akan dihadapi aplikasi untuk tahun tertentu. Ini memiliki kumpulan aplikasi web yang rentan yang didistribusikan di Mesin Virtual.  

Proyek ini memiliki kerentanan bawaan bagi pelajar dan profesional untuk berlatih dan mengembangkan keterampilan mereka tentang cara kerja injeksi SQL.  

Catatan. Melakukan Injeksi SQL di dunia nyata di situs web mana pun adalah ilegal

• Setelah mengunduh mesin virtual OWASP Broken Web Apps, buka di workstation VMware
• Anda dapat melihat alamat IP mesin. Dalam hal ini, 192. 168. 71. 132

• Gunakan alamat IP yang disebutkan di atas dan buka di browser

Anda akan menemukan aplikasi pelatihan, dan aplikasi yang realistis dan rentan

Anda juga dapat menemukan aplikasi nyata versi lama dan banyak lagi

Untuk demonstrasi, Anda akan menggunakan aplikasi OWASP Mutillidae II

Di sebelah kiri, Anda dapat melihat 10 risiko teratas OWASP untuk tahun 2013, 2010, dan 2007.  

Klik SQLi - Abaikan Otentikasi > Login

Anda akan masuk ke halaman autentikasi login reguler yang mungkin diminta oleh aplikasi apa pun

Misalkan Anda memasukkan nama pengguna dan kata sandi anonim, yang tidak memungkinkan Anda untuk masuk

Mari tulis pernyataan SQL di nama pengguna dan coba masuk lagi

• Nama pengguna saya akan menjadi. ' atau 1=1 --
• Klik Masuk
• Anda akan masuk kali ini dengan pembaruan status yang mengatakan bahwa pengguna telah diautentikasi

Kutipan tunggal (') adalah operator yang masuk ke server database, memilih tabel pengguna default, dan membandingkannya dengan kondisi yang diberikan. Kondisi yang Anda berikan adalah 1=1, yang selalu benar. Jadi, ia memilih tabel pengguna default yang tersedia di database, dan alih-alih membandingkannya dengan kata sandi, ia membandingkannya dengan kondisi

Jika Anda memberikan kondisi salah seperti 1=2, Anda akan mendapatkan pesan error “Akun tidak ada”

Sekarang, setelah Anda melihat demonstrasi tentang bagaimana kueri SQL dapat digunakan untuk masuk ke aplikasi, mari kita pahami topik terakhir dalam artikel ini tentang 'apa itu SQL Injection'

Kursus GRATIS. Pengantar Keamanan Cyber

Bagaimana Mencegah Injeksi SQL?

1. Gunakan pernyataan yang disiapkan dan kueri berparameter - Pernyataan berparameter memastikan bahwa parameter yang diteruskan ke dalam pernyataan SQL diperlakukan dengan aman
2. Pemetaan objek-relasional - Sebagian besar tim pengembangan lebih suka menggunakan kerangka kerja Pemetaan Relasional Objek untuk menerjemahkan set hasil SQL menjadi objek kode dengan lebih mulus.  
3. Melarikan diri dari input - Ini adalah cara sederhana untuk melindungi dari sebagian besar serangan injeksi SQL. Banyak bahasa memiliki fungsi standar untuk mencapai hal ini. Anda harus berhati-hati saat menggunakan karakter escape di basis kode tempat pernyataan SQL dibuat.  

Beberapa metode lain yang digunakan untuk mencegah SQL Injection adalah

• Pencirian kata sandi
• Otentikasi pihak ketiga
• Firewall aplikasi web
• Beli perangkat lunak yang lebih baik
• Selalu perbarui dan gunakan tambalan
• Terus memantau pernyataan SQL dan basis data

Kesimpulan

Serangan SQL Injection dapat mengeksploitasi database organisasi dan mengontrol server database di belakang aplikasi web. Setelah membaca artikel ini, Anda menjelajahi 'apa itu injeksi SQL' dan jenisnya. Anda melihat demonstrasi menggunakan aplikasi OWASP dan mempelajari cara mencegah SQL Injection
Jika Anda mencari pelatihan komprehensif dalam sql untuk menguasai semua bahasa, Kursus Pelatihan Sertifikasi SQL Simplilearn adalah yang Anda butuhkan. Meliputi semua dasar-dasar SQL penting dalam kurikulum mutakhir, kursus ini memberi Anda semua yang Anda butuhkan untuk menguasai bahasa dan memulai karir yang memuaskan sebagai pakar SQL.  

Apakah Anda memiliki pertanyaan terkait dengan artikel ini? . Tim kami akan membantu Anda menyelesaikan pertanyaan Anda

Untuk mempelajari lebih lanjut, klik tautan berikut. Injeksi SQL