Dasar-Dasar SQL Injection

Apa Itu SQL Injection?

SQL Injection adalah teknik serangan di mana penyerang menyisipkan atau “menyuntikkan” pernyataan SQL berbahaya ke dalam input aplikasi yang kemudian dieksekusi oleh database. Serangan ini memanfaatkan celah keamanan dalam aplikasi yang tidak memvalidasi atau membersihkan input pengguna dengan benar.

Jenis-Jenis SQL Injection

1. In-Band SQL Injection: Penyerang mengirimkan pernyataan SQL berbahaya dan mendapatkan hasilnya melalui saluran yang sama.
2. Blind SQL Injection: Penyerang menyuntikkan pernyataan SQL yang tidak menampilkan hasil langsung tetapi mengamati respons aplikasi untuk menentukan apakah serangan berhasil.
3. Out-of-Band SQL Injection: Penyerang mengirimkan pernyataan SQL berbahaya dan mendapatkan hasilnya melalui saluran terpisah, seperti email atau HTTP request.

Contoh Serangan SQL Injection

1. Login Bypass:
   • Form login yang rentan:

sql

Copy code

SELECT * FROM users WHERE username = ‘admin’ AND password = ‘password’;

1. • Input yang disuntikkan:

sql

Copy code

‘ OR ‘1’=’1

1. • Pernyataan SQL yang dihasilkan:

sql

Copy code

SELECT * FROM users WHERE username = ” OR ‘1’=’1′ AND password = ”;

1. Dumping Database:
   • Form pencarian yang rentan:

sql

Copy code

SELECT * FROM products WHERE name = ‘search_term’;

1. • Input yang disuntikkan:

sql

Copy code

‘ UNION SELECT username, password FROM users —

1. • Pernyataan SQL yang dihasilkan:

sql

Copy code

SELECT * FROM products WHERE name = ” UNION SELECT username, password FROM users –‘;

Teknik Mitigasi SQL Injection

1. Prepared Statements: Menggunakan pernyataan yang telah dipreparasi dengan parameter terikat untuk menghindari eksekusi pernyataan SQL berbahaya.
2. Stored Procedures: Menggunakan prosedur tersimpan di database untuk memproses input dan menghindari pernyataan SQL dinamis.
3. Validasi Input: Memvalidasi dan membersihkan semua input pengguna sebelum menggunakannya dalam pernyataan SQL.
4. Penggunaan Hak Akses Terbatas: Menggunakan akun database dengan hak akses terbatas untuk meminimalkan dampak serangan.
5. Pemantauan dan Logging: Memantau dan mencatat aktivitas database untuk mendeteksi serangan SQL injection.

Kesimpulan

SQL Injection adalah salah satu teknik serangan yang paling umum dan berbahaya dalam keamanan aplikasi web. Dengan memahami cara kerja serangan ini dan menerapkan teknik mitigasi yang tepat, Anda dapat melindungi aplikasi Anda dari serangan SQL injection. Selalu validasi dan bersihkan input pengguna, serta gunakan metode yang aman untuk mengakses database.