On 9/6/07, JimBeam <[EMAIL PROTECTED]> wrote:
> kok ribet ya? anyway, filtering SQL KEYWORDS coudn't be a more
> naive way for this purpose.
===================================================
Waduh, baru segini dibilang ribet?? he he.. ngga ribet kalo anda tau cara manage
multi koneksi yg berbeda user privillages di PHP. Apalagi yg filter
string, tinggal include sekali, beres. Sama sekali ngga ribet..
> kelihatannya anda belum penuh mengerti tentang sql injection dan tentang
> sejauh
> mana db privilege berperan di sini.
========================================================
Oh ya? Hmm.. Lalu apa yg bisa dilakukan oleh sql injection jika dia
tidak memiliki privillages?
> imho, sql injection itu boleh dibilang teknik attack yg mulai obsolete
> karena sebegitu gampang nya dicegah (setidaknya di .net or java,
> kurang tau kalau di php). tapi sayangnya, masih banyak yg tidak tau
> cara menangkal yg tepat. hmm...berarti 'mulai obsolete' bukan istilah
> yg tepat ya? correction.
=======================================================
Kl Applikasi anda dipublish di internet sebaiknya anda jangan gegabah
dulu. You'll never know..
Tapi kalo anda kekeuh sudah merasa sistem anda sudah secure, he he..
silahkan aja.
> magic word nya adalah 'parameter' atau 'placeholder'. pakailah command/sql
> parameter
> bila platform anda mendukung. pakai dynamic sql? bukan masalah. ada
> tekniknya juga
> supaya dynamic sql nya juga memakai parameter (esp. kalau di oracle atau sql
> server).
> kalau platform anda tidak mendukung command parameter, escape character2
> berbahaya terutama [ ' ] dan [ -- ] (with no brackets). kalau language anda
> mendukung strong type, biasakan convert dulu ke type yg sesuai, mis:
> character
> string "1" menjadi (int)1 sebelum di pass ke query-nya.
===========================================================
Hmm.. I see, berarti emang anda belum nyambung. Saya muter2 ngomongin
filter string, ya tujuannya untuk menghindari string2 berbahaya itu,
tapi anda bilang ribet.. :)
Sebetulnya ngga ribet kalo anda sudah faham betul.
> wah kok bisa tau 68%?
=======================
Dari Roy Suryo :P
--
www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia
Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED]
Yahoo! Groups Links
<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/ITCENTER/
<*> Your email settings:
Individual Email | Traditional
<*> To change settings online go to:
http://groups.yahoo.com/group/ITCENTER/join
(Yahoo! ID required)
<*> To change settings via email:
mailto:[EMAIL PROTECTED]
mailto:[EMAIL PROTECTED]
<*> To unsubscribe from this group, send an email to:
[EMAIL PROTECTED]
<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/
