On 9/5/07, Muhadly Acho <[EMAIL PROTECTED]> wrote:
>
>
> Wah ngga sampai SARA lah, istilah bule itu sy pakai untuk mewakili
> user yg english speaking tadi, biar singkat aja.. :)
>
>
>
> He he.. salah, bukan itu intinya. Kan saya bilang "biasanya", bukan
> "hanya bisa". Intinya itu, proses penyaringan string adalah salah satu
> hal yg bisa dilakukan untuk mencegah sql injection. Selain itu bisa
> dengan pengaturan privillages pada database yang dipergunakan.
> Misalnya, bagian web yang hanya berfungsi memperlihatkan data melalui
> query select menggunakan user dengan privelege select saja. Bagian
> situs yang berfungsi untuk memberi kesempatan pembaca untuk
> berkomentar menggunakan user dengan privelege insert saja dst, jadi
> ngga perlu filter string lagi.
kok ribet ya? anyway, filtering SQL KEYWORDS coudn't be a more
naive way for this purpose.
Hah, 99% ?? bukan 68% ? :p
> Kalaupun ada user yg iseng mau pake username itu, trus ngga mau
> dibatasi, ya pake cara yg kedua aja, batasi privillages nya.
kelihatannya anda belum penuh mengerti tentang sql injection dan tentang
sejauh
mana db privilege berperan di sini. saran saya (ke OP juga), pahami dengan
benar article yg link-nya di berikan fadjar. no tricks here, it's all there.
well, ngga
semua tapi setidaknya dasarnya ter-cover semua. atau mungkin bro Fadjar
bersedia menerangkan? :)
imho, sql injection itu boleh dibilang teknik attack yg mulai obsolete
karena sebegitu gampang nya dicegah (setidaknya di .net or java,
kurang tau kalau di php). tapi sayangnya, masih banyak yg tidak tau
cara menangkal yg tepat. hmm...berarti 'mulai obsolete' bukan istilah
yg tepat ya? correction.
magic word nya adalah 'parameter' atau 'placeholder'. pakailah command/sql
parameter
bila platform anda mendukung. pakai dynamic sql? bukan masalah. ada
tekniknya juga
supaya dynamic sql nya juga memakai parameter (esp. kalau di oracle atau sql
server).
kalau platform anda tidak mendukung command parameter, escape character2
berbahaya terutama [ ' ] dan [ -- ] (with no brackets). kalau language anda
mendukung strong type, biasakan convert dulu ke type yg sesuai, mis:
character
string "1" menjadi (int)1 sebelum di pass ke query-nya.
wah kok bisa tau 68%?
[Non-text portions of this message have been removed]
--
www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia
Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED]
Yahoo! Groups Links
<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/ITCENTER/
<*> Your email settings:
Individual Email | Traditional
<*> To change settings online go to:
http://groups.yahoo.com/group/ITCENTER/join
(Yahoo! ID required)
<*> To change settings via email:
mailto:[EMAIL PROTECTED]
mailto:[EMAIL PROTECTED]
<*> To unsubscribe from this group, send an email to:
[EMAIL PROTECTED]
<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/
