Mengatasi Serangan SQL Injection dan HTML Injection Dengan htmlentities dan MD5

Sebelumnya Saya ingin menjelaskan bahwa Saya sama sekali tidak ahli dalam bidang ini, jadi kalau ada kesalahan dalam penyampaian mohon untuk diluruskan.

Apa itu SQL Injection ?

Saya memahami SQL Injection sebagai sebuah teknik yang dilakukan seorang hacker menggunakan perintah SQL atau string tertentu yang bisa mengakibatkan error atau kesalahan pada sistem yang menggunakan MySQL sebagai basis datanya. Dalam contoh kasus nyata SQL injection juga sering digunakan untuk melakukan bypass sebuah form login website

Dalam beberapa kasus yang pernah Saya alami biasanya serangan yang biasa disebut dengan SQL Injection ini juga sering terjadi pada sebuah form login. Parameter yang di selipkan ke form login tentunya adalah parameter string yang bisa membuat form isian password seolah – olah jadi kosong. Contoh yang paling sederhana kita bisa menyelipkan parameter atau string seperti ‘+’ dengan string tersebut, maka form input yang harusnya diisi dengan password yang benar malah akan diabaikan dan dianggap benar karena telah disipkan parameter string tersebut.

Apa itu HMTL Injection
Saya memahaminya sebagai jenis serangan yang menggunakan teknik injeksi dengan memasukan kode HTML kedalam sebuah form input, dengan HTML injection, seseorang bisa mengambil cookies

HTML injection is a type of injection issue that occurs when a user is able to control an input point and is able to inject arbitrary HTML code into a vulnerable web page. This vulnerability can have many consequences, like disclosure of a user's session cookies that could be used to impersonate the victim, or, more generally, it can allow the attacker to modify the page content seen by the victims.

Apa itu htmlentities ?
htmlentities() adalah sebuah fungsi untuk merubah semua tag HTML menjadi text biasa. Saya juga sebenarnya menambahkan fungsi mysql_real_escape_string() di depan htmlentities. mysql_real_escape_string() adalah fungsi PHP yang digunakan untuk memberi backslash di beberapa kode untuk ditampilkan pada halaman, namun saat menyimpan menuju sql, kode akan tetap normal tanpa ada backslash.

Apa itu MD5 ?
Penjelasan tentang MD5 sudah Saya jelaskan pada artikel Cara Menggunakan Enkripsi MD5 di PHP
script untuk mencegah SQL Injection dan HTML Injection


Untuk mencegah terjadinya by pass login menggunakan sql injection ataupun html Injection maka kita bisa menggunakan htmlentities atau md5, atau juga bisa menggunakan perpaduan keduanya. Dalam contoh kasus kali ini Saya ingin mencotohkannya pada Aplikasi PSB yang saya buat, dimana pada aplikasi tersebut sebelum siswa bisa masuk ke halman pendaftaran, dia harus terlebih dahulu memasukan “KEY”. Key tersebut sebenarnya merupakan sebuah password yang disimpan dalam database MySQL. Password yang tersimpan merupakan pssword yang telh di proteksi dengan enkripsi MD5. Tapi bila susunan kodenya salah, maka enkrispi tersebut akan sangat percuma, karena akan bisa di by pass dengan mudah oleh si penyerang. Silahkn download terlebih dahulu source codenya pada halaman Aplikasi Penerimaan Siswa Baru (PSB) Gratis Versi 1.1

Mari kita lihat potongan kodenya dalam file “key_proses.php” dalam aplikasi Penerimaan Siswa Baru

if(isset($_POST['lanjutkan'])){
$key = mysql_real_escape_string(htmlentities(md5($_POST['key'])));
$sql = mysql_query("SELECT * FROM kunci WHERE number_key='$key'")

Varibel di kirimkan menggunakan POST disimpan dulu dalam sebuah variabel begitu pula dengan perintah querynya disimpan kedalam sebuah variabel $sql. Jika seandinya Saya tidak menggunakan mysql_real_escape_string(htmlentities(md5, misal jadi seperti ini 

$key = ($_POST['key']);
maka hasilnya form input key atau password yang Saya buat dengan susunan kode seperti itu, akan sangat mudah untuk di bypass oleh si penyerang.

Tapi seandainya kita hanya menggunakan MD5 saja dan tidak menggunakan fungsi mysql_real_escape_string(htmlentities mungkin bisa di katakan aplikasi kita sudah aman, karena Saya berpikir script sql injection yang di selipkan si penyerang tentunya akan dirubah kedalam bentuk enkripsi md5 bukan dalam string seutuhnya. Saya sudah mencobanya pada aplikasi yang Saya buat sendiri tanpa menggunakan tembahan fungsi mysql_real_escape_string(htmlentities, namun hanya MD5 saja ,  jadi nanti scriptnya akan terlihat seperti ini 

 $key =(md5 ($_POST['key']));
Tapi mungkin bila ingin lebih aman memang kita harus menggunakan perpaduan keduanya.

Jadi kesimpulannya, untuk mencegah terjadinya serangan sql injection atau html injection pada sebuah form login, maka kita cukup menyimpan variabel yang dikirim menggunakan POST lalu menambahkan fungsi htmlentities atau md5 ke dalam variabel yang tersimpan. Untuk md5 tentunya password yang tersimpan harus dalam keadaan terenkripsi, bila password yang tersimpan bukan dalam bentuk md5 maka kita cukup menggunakan fungsi mysql_real_escape_string(htmlentities saja. Untuk lebih jelasnya Anda bisa mempelajari source codenya dalam Aplikasi Penerimaan Siswa Baru (PSB) Gratis Versi 1.1

17 Responses to "Mengatasi Serangan SQL Injection dan HTML Injection Dengan htmlentities dan MD5"

  1. angkat tangan dluan saya mas. :D
    kodenya menyeramkan :((

    ReplyDelete
    Replies
    1. lebih seram lagi wajah yang buat kodenya mba... jhahah XD

      Delete
  2. Website saya banyak kang yang kena hack oleh orang yang tidak bertanggung jawab, tapi bedanya kalau saya mah link mereka yang ditempelkan di website saya dan ini terjadi sudah dari dulu.

    ReplyDelete
    Replies
    1. pastinya sekarang udah aman yah,, kecuali kalau ditemukan bugs baru..

      Delete
  3. Mirip pelarajan dikampung saya mas :)

    ReplyDelete
    Replies
    1. Wah hebat atuh kang kalau udah belajar ginianmah... sayamah baru belajar kemarin..

      Delete
    2. Iya mas kemaren pas semester 3 nemu yang beginian. tapi udah rada2 lupa nih hehe

      Delete
  4. dari judulnya saja serangan sql injection saya sudah mati faham, gimana saya mambacanya sekedalaman artikelnya atuh mang....lieur ah

    ReplyDelete
    Replies
    1. kalau serangan fajar ? pasti paham kan ?? XD

      Delete
  5. Your comment will be visible after approval.

    emang postingan lama ya mang dikasih begituan?

    ReplyDelete
    Replies
    1. enggak mang,,, soalnya kemarin banyak yang nyepam,, makanya pake yang kek gituaan...

      Delete
  6. Blog saya kena "Aktivitas Tidak Valid" menurut Google sehingga Adsense saya tdk disetujui, apakah ini salah satu korban dari SQL Injection kang...?

    ReplyDelete
    Replies
    1. lah kalau itumah beda lagi mang,inimah berkaitan dengan masalah security sebuah aplikasi di website,,
      Kalau masalah GA mah Saya kurang begitu mengerti,, mereka terkadang emang agak sedikit aneh dalam menyetujui sebuah blog [ Baca : Pengalaman Upgrade Akun Adsense Dari Hosted Menjadi Non Hosted ] Saya pernah di terima,, tapi besoknya muncul pesan bahwa Saya di tolak,, keknya emang perlu dicoba terus sampai keterima..

      Delete
  7. mataabz ilmunya kang Ahmad Z !
    Setelah salah 1 artikel saya mendapat respon likers yang luar biasa, lalu ngaburudul tuh 15-an komen spam "TOGEL". Udah ane delete.

    Kumaha ya Kang biar aman dari begituan ?
    Apa ini termasuk juga "serangan-sql-injection" ?

    Haturnuhun prof kompyuter, sip !

    ReplyDelete
    Replies
    1. lah kalau itumah dilakukannya secara manual mba,,, lagian blogger kan punya google, jadi kemungkinan inject - injeckan sepertinya sangat sulit terjadi... XD
      mendingan kolom komentarnya di moderasi mba... :D

      Delete
  8. Asli saya bingung mau berkomentar, kayaknya hanya bligger dengan otak encer nih kang

    ReplyDelete
  9. Kayaknya nih ya yang buat kodenya lebih menyeramkan dari sebuah kode yang di buatnya :D

    ReplyDelete

Silahkan untuk meninggalkan komentar, santai saja dan mulailah berkomentar...