SQL Injection

Pengertian SQL Injection
     SQL Injection adalah sebuah aksi hacking yang dilakukan diaplikasi client dengan cara memodifikasi perintah SQL yang ada dimemori aplikasi client dan juga merupakan teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database untuk penyimpanan data.

Sebab terjadinya SQL Injection
     Hal yang menyebabkan terjadinya Sql Injection adalah tidak adanya penanganan terhadapa karakter tanda petik satu " ' " dan karakter double minus (--) yang menyebabkan suatu aplikasi dapat disisipi perintah SQL, sehingga seorang hacker dapat menyisipkan karakter perintah Sql kedalam parameter atau suatu form.

     Apa bahayanya SQL injection, SQL Injection memungkinkan seseorang dapat login ke sistem web tanpa memiliki account. SQL injection memungkinkan seorang merubah, menghapus maupun menambahkan data yang berada didalam database. Dan yang paling berbahaya adalah dapat mematikan database itu seniri sehingga otomatis tidak dapat memberikan pelayanan kepada web server.

Tool yang digunakan untuk menjalankan SQL Injection adalah

1. Browser
2. PC yang terhubung dengan internet
3. Program/software Sql Injection

Beberapa software yang digunakan untuk melakukan injeksi adalah sebagai berikut

1. BSQL Hacker dikembangkan oleh Portcullis Labs aplikasi ini dirancang untuk mengeksplor hampir seluruh database                                                                                                                                                                                                                     
   

The Mole adalah aplikasi opensource dapat melewati sistem IPS/IDS yang menggunakan filter generik. Mole dapat mengeksplor hanya dengan menggunakan URL yang rentan.                                    

3.  Pangolin diproduksi oleh perusahaan yang membuat jSky, NOSEC, pangolin dapat menginjeksi

     menyeluruh pada web dengan user-friendly dan support dengan hampir semua database.

4. Havij salah satu software yang paling terkenal digunakan, dikembangkan oleh programer iran dengan GUI yang sederhana menginjek SQL, menggunakan Havij keberhasilan mencapai 95% dan masih banyak lagi keunggulan havij.

Cara pencegahan SQL Injection

1. Batasi Inputbox, dengan membatasinya di kode program, jadi si hacker pemula akan bingung sejenak melihat inputbox yang tidak bisa di injek dengan perintah yang panjang.
2. Filter input yang di masukan oleh user, terutama penggunaan tanda kutip tunggal ( ' ).
3. Matikan atau sembunyikan pesan-pesan error yang keluar dari sql server yang berjalan.
4. Matikan Fasillitas standar seperti Stored Prosedure, Extended Stored Prosedure jika memungkinkan.
5. "Ubah startup and Run SQL Server " Menggunakan low privilege di SQL server Security tab.

http://elearning.amikom.ac.id/index.php/download/materi/190000005-ST047-17/2011/06/20110604_Tutorial%20SQL%20Injection.pdf