Sudah .... sudah ... ndak usah berantem. Semua tujuannya sama kok. Secure.
Mas Jim dan Mas Mudadly sama sama benar. Hanya masalah selera saja. Ndak usah
diperpanjang.
Menurut kita ribet menurut yang lain belum tentu ribet.
Menurut kita cukup secure dengan yang ada menurut yang lain juga masih kurang
secure.
Yang saya tahu, masing-masing sudah memahami pokok permasalahannya dengan
membaca email-email yang
saya terima dengan gaya bahasa masing-masing.
Saya kira topik ini sudah terpecahkan. Ndak perlu diperpanjang. Biar tidak blur
masalah dan
pemecahannya bila ada yang membutuhkan nanti.
Semoga membantu,
fajr_n
JimBeam wrote:
> On 9/6/07, Muhadly Acho < [EMAIL PROTECTED]> wrote:
>> On 9/6/07, JimBeam < [EMAIL PROTECTED]> wrote:
>>
>>
>>> kok ribet ya? anyway, filtering SQL KEYWORDS coudn't be a more
>>> naive way for this purpose.
>> ===================================================
>> Waduh, baru segini dibilang ribet?? he he.. ngga ribet kalo anda tau cara
>> manage
>> multi koneksi yg berbeda user privillages di PHP. Apalagi yg filter
>> string, tinggal include sekali, beres. Sama sekali ngga ribet..
>>
>>
>>
>>
>>> kelihatannya anda belum penuh mengerti tentang sql injection dan tentang
>>> sejauh
>>> mana db privilege berperan di sini.
>> ========================================================
>> Oh ya? Hmm.. Lalu apa yg bisa dilakukan oleh sql injection jika dia
>> tidak memiliki privillages?
>>
>>
>>
>>> imho, sql injection itu boleh dibilang teknik attack yg mulai obsolete
>>> karena sebegitu gampang nya dicegah (setidaknya di .net or java,
>>> kurang tau kalau di php). tapi sayangnya, masih banyak yg tidak tau
>>> cara menangkal yg tepat. hmm...berarti 'mulai obsolete' bukan istilah
>>> yg tepat ya? correction.
>> =======================================================
>> Kl Applikasi anda dipublish di internet sebaiknya anda jangan gegabah
>> dulu. You'll never know..
>> Tapi kalo anda kekeuh sudah merasa sistem anda sudah secure, he he..
>> silahkan aja.
>>
>>
>>
>>> magic word nya adalah 'parameter' atau 'placeholder'. pakailah
>> command/sql
>>> parameter
>>> bila platform anda mendukung. pakai dynamic sql? bukan masalah. ada
>>> tekniknya juga
>>> supaya dynamic sql nya juga memakai parameter (esp. kalau di oracle atau
>> sql
>>> server).
>>> kalau platform anda tidak mendukung command parameter, escape character2
>>> berbahaya terutama [ ' ] dan [ -- ] (with no brackets). kalau language
>> anda
>>> mendukung strong type, biasakan convert dulu ke type yg sesuai, mis:
>>> character
>>> string "1" menjadi (int)1 sebelum di pass ke query-nya.
>> ===========================================================
>> Hmm.. I see, berarti emang anda belum nyambung. Saya muter2 ngomongin
>> filter string, ya tujuannya untuk menghindari string2 berbahaya itu,
>> tapi anda bilang ribet.. :)
>>
>> Sebetulnya ngga ribet kalo anda sudah faham betul.
>
>
> LMFAO...seperti yg saya duga.
>
> hehe...saya perlu belajar ilmu yg ditunjukin di atas yaitu: ilmu ngeles.
> sudah jelas di post anda sebelumnya anda menyarankan filter sql keywords spt
> drop, truncate, dll.
> anda juga mengatakan query filter (padahal filter juga salah, yg benar itu
> escaping characters)
> bisa di ganti dengan db privilege utk masalah ini.
>
> ok champ, mulai saat ini saya tidak akan mengkoreksi lagi statement2 anda yg
> salah.
> susah kalau pihak yg diajak ngomong gak bisa mengakui kesalahan dan
> dibenarin.
>
>> wah kok bisa tau 68%?
>> =======================
>> Dari Roy Suryo :P
>>
>
--
www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia
Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED]
Yahoo! Groups Links
<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/ITCENTER/
<*> Your email settings:
Individual Email | Traditional
<*> To change settings online go to:
http://groups.yahoo.com/group/ITCENTER/join
(Yahoo! ID required)
<*> To change settings via email:
mailto:[EMAIL PROTECTED]
mailto:[EMAIL PROTECTED]
<*> To unsubscribe from this group, send an email to:
[EMAIL PROTECTED]
<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/
