New Posts


Patch Sql Injection
by omicron9194

Friday, 27 November 2009

>> Cari bugnya misal :
www.bugsite.com/berita_selengkapnya.php?id=$id
>> berarti bug terdapat pada file berita_selengkapnya.php
>> masuk ke berita_selengkapnya.php
>> perhatikan line 92,string code pada id adalah bugnya





patch..patch...tambahkan filter di atas line tsb,yaitu di line 91

>> ada banyak cara yg di lakukan,beberapa diantaranya :

>> mencegah agar nilai id tdk ada minus :
if ($id<0)
{ echo "pesan";
}

>> buat pembatasan length input pada id :
if ($id>3) {
echo "pesan";
}

utk pesan,bisa dgn javascript,dll , terserah dgn kreativitas masing2.

more secure >>
+ buat $id sebagai karakter,jgn berupa angka
+ tambahkan filter seperti yg di atas
+ buat halaman admin dengan nama dan location yg tidak lazim
+ buat fake admin page di dalamnya buat script maenan biar si attacker jadi stres :p