sql injection example on login

sql injection example on login

Bypass Otentikasi Menggunakan Injection SQL pada Halaman Login Apabila Anda ingin mencari tahu bagaimana cara menggunakan SQL injection untuk berhasil masuk ke website tanpa mengetahui username atau password yang valid, maka artikel ini cocok untuk Anda. Namun, perlu diingat bahwa SQL injection dapat membahayakan keamanan website Anda. Sebaiknya gunakan Prepared Statement untuk menghindari kerentanan ini. Ada beberapa contoh SQL injection, di antaranya adalah mengekstrak data tersembunyi, mengubah kueri untuk mengganggu logika aplikasi, dan retreiving data dari tabel database yang berbeda melalui serangan UNION. Jika sebuah website meminta input dari pengguna seperti username/id, dan daripada memberikan nama atau id, pengguna memberikan pernyataan SQL yang akan dijalankan pada database, maka SQL injection akan terjadi. Salah satu contoh implementasi SQL injection pada website adalah saat pengguna memasukkan perintah pada kolom password atau kolom yang rentan, kemudian mengklik login, dan otentikasi pun berhasil dilewati. SQL query yang digunakan adalah: SELECT * FROM users WHERE login='admin' AND password='1' OR '1'='1'; yang berarti akan memilih kolom-kolom dengan nilai login='admin'. Kueri ini rentan terhadap serangan SQL injection. Beberapa alat untuk melakukan serangan SQL injection meliputi SQLMap, SQLPing, SQLSmack, dan lain-lain. Namun, jika Anda menulis kebijakan keamanan yang baik saat membuat pernyataan SQL, maka akan membantu mengurangi serangan SQL injection pada website Anda. Serangan SQL injection menyisipkan kueri SQL melalui input data dari klien ke aplikasi. Jika tersedia kerentanan SQL injection, eksploitasi berhasil akan membaca informasi sensitif dari database, memodifikasi data, melakukan operasi administrasi, atau memulihkan konten dari suatu file yang ada di dalamnya. Penyerang dapat menggunakan alat atau melakukan serangan manual untuk mencari kerentanan SQL injection pada website. Jika berhasil, penyerang dapat membaca, membuat, memperbarui, atau bahkan menghapus catatan dari tabel database secara tidak sah. Sebelum membaca artikel ini, mohon membaca artikel dasar SQL injection terlebih dahulu untuk pemahaman yang lebih baik dan mengikuti langkah-langkah yang dilakukan. Contoh implementasi SQL injection pada halaman login dapat dilihat pada potongan kode program di atas.