Elakkan Serangan SQL Injection dalam PHP

Elakkan Serangan SQL Injection dalam PHP

Ini adalah kod mudah bagi mengatasi masalah serangan SQL Injection. Kaedah ini dapat mengelakkan Penggodam / Hacker untuk memasukkan kod untuk menyerang SQL anda secara terus.

Sebelum itu mari kita lihat bagaimana SQL INJECTION ini biasanya terjadi.

http://www.belajarapp.com/ahli.php?id=100

Daripada link ini kita boleh maklumat tentang ahli id = 100

 

Arahan Query anda:

$SQL_arahan= "select nama from ahli  where id=".$_GET['id']; 
// sesiapa sahaja boleh lakukan inject pada query ini dengan menambah URL.

Arahan Query yang SELAMAT:

$SQL_arahan= "select nama from ahli where id=".semak_injection($_GET['id']); 
// Sekarang ia menjadi lebih selamat.

 

Kod :

function semak_injection($data)
{
    // buangkan whitespaces di mula dan akhir
    $data = trim($data);

    // gunakan stripslashes untuk elakkan  double escape if magic_quotes_gpc is enabledif(get_magic_quotes_gpc()){
    $data = stripslashes($data);}

    // connection diperlukan sebelum menggunakan function ini
    $data=mysqli_real_escape_string($conn,$data);   
    return $data;
}
Ini adalah contoh mudah yang kebanyakan programmer telah gunakan.

Leave a Reply

comment-avatar

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.