On 9/5/07, Muhadly Acho <[EMAIL PROTECTED]> wrote: > > > Wah ngga sampai SARA lah, istilah bule itu sy pakai untuk mewakili > user yg english speaking tadi, biar singkat aja.. :) > > > > He he.. salah, bukan itu intinya. Kan saya bilang "biasanya", bukan > "hanya bisa". Intinya itu, proses penyaringan string adalah salah satu > hal yg bisa dilakukan untuk mencegah sql injection. Selain itu bisa > dengan pengaturan privillages pada database yang dipergunakan. > Misalnya, bagian web yang hanya berfungsi memperlihatkan data melalui > query select menggunakan user dengan privelege select saja. Bagian > situs yang berfungsi untuk memberi kesempatan pembaca untuk > berkomentar menggunakan user dengan privelege insert saja dst, jadi > ngga perlu filter string lagi.
kok ribet ya? anyway, filtering SQL KEYWORDS coudn't be a more naive way for this purpose. Hah, 99% ?? bukan 68% ? :p > Kalaupun ada user yg iseng mau pake username itu, trus ngga mau > dibatasi, ya pake cara yg kedua aja, batasi privillages nya. kelihatannya anda belum penuh mengerti tentang sql injection dan tentang sejauh mana db privilege berperan di sini. saran saya (ke OP juga), pahami dengan benar article yg link-nya di berikan fadjar. no tricks here, it's all there. well, ngga semua tapi setidaknya dasarnya ter-cover semua. atau mungkin bro Fadjar bersedia menerangkan? :) imho, sql injection itu boleh dibilang teknik attack yg mulai obsolete karena sebegitu gampang nya dicegah (setidaknya di .net or java, kurang tau kalau di php). tapi sayangnya, masih banyak yg tidak tau cara menangkal yg tepat. hmm...berarti 'mulai obsolete' bukan istilah yg tepat ya? correction. magic word nya adalah 'parameter' atau 'placeholder'. pakailah command/sql parameter bila platform anda mendukung. pakai dynamic sql? bukan masalah. ada tekniknya juga supaya dynamic sql nya juga memakai parameter (esp. kalau di oracle atau sql server). kalau platform anda tidak mendukung command parameter, escape character2 berbahaya terutama [ ' ] dan [ -- ] (with no brackets). kalau language anda mendukung strong type, biasakan convert dulu ke type yg sesuai, mis: character string "1" menjadi (int)1 sebelum di pass ke query-nya. wah kok bisa tau 68%? [Non-text portions of this message have been removed] -- www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED] Yahoo! Groups Links <*> To visit your group on the web, go to: http://groups.yahoo.com/group/ITCENTER/ <*> Your email settings: Individual Email | Traditional <*> To change settings online go to: http://groups.yahoo.com/group/ITCENTER/join (Yahoo! ID required) <*> To change settings via email: mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] <*> To unsubscribe from this group, send an email to: [EMAIL PROTECTED] <*> Your use of Yahoo! Groups is subject to: http://docs.yahoo.com/info/terms/