On 9/6/07, JimBeam <[EMAIL PROTECTED]> wrote:
> kok ribet ya? anyway, filtering SQL KEYWORDS coudn't be a more > naive way for this purpose. =================================================== Waduh, baru segini dibilang ribet?? he he.. ngga ribet kalo anda tau cara manage multi koneksi yg berbeda user privillages di PHP. Apalagi yg filter string, tinggal include sekali, beres. Sama sekali ngga ribet.. > kelihatannya anda belum penuh mengerti tentang sql injection dan tentang > sejauh > mana db privilege berperan di sini. ======================================================== Oh ya? Hmm.. Lalu apa yg bisa dilakukan oleh sql injection jika dia tidak memiliki privillages? > imho, sql injection itu boleh dibilang teknik attack yg mulai obsolete > karena sebegitu gampang nya dicegah (setidaknya di .net or java, > kurang tau kalau di php). tapi sayangnya, masih banyak yg tidak tau > cara menangkal yg tepat. hmm...berarti 'mulai obsolete' bukan istilah > yg tepat ya? correction. ======================================================= Kl Applikasi anda dipublish di internet sebaiknya anda jangan gegabah dulu. You'll never know.. Tapi kalo anda kekeuh sudah merasa sistem anda sudah secure, he he.. silahkan aja. > magic word nya adalah 'parameter' atau 'placeholder'. pakailah command/sql > parameter > bila platform anda mendukung. pakai dynamic sql? bukan masalah. ada > tekniknya juga > supaya dynamic sql nya juga memakai parameter (esp. kalau di oracle atau sql > server). > kalau platform anda tidak mendukung command parameter, escape character2 > berbahaya terutama [ ' ] dan [ -- ] (with no brackets). kalau language anda > mendukung strong type, biasakan convert dulu ke type yg sesuai, mis: > character > string "1" menjadi (int)1 sebelum di pass ke query-nya. =========================================================== Hmm.. I see, berarti emang anda belum nyambung. Saya muter2 ngomongin filter string, ya tujuannya untuk menghindari string2 berbahaya itu, tapi anda bilang ribet.. :) Sebetulnya ngga ribet kalo anda sudah faham betul. > wah kok bisa tau 68%? ======================= Dari Roy Suryo :P -- www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED] Yahoo! Groups Links <*> To visit your group on the web, go to: http://groups.yahoo.com/group/ITCENTER/ <*> Your email settings: Individual Email | Traditional <*> To change settings online go to: http://groups.yahoo.com/group/ITCENTER/join (Yahoo! ID required) <*> To change settings via email: mailto:[EMAIL PROTECTED] mailto:[EMAIL PROTECTED] <*> To unsubscribe from this group, send an email to: [EMAIL PROTECTED] <*> Your use of Yahoo! Groups is subject to: http://docs.yahoo.com/info/terms/