SQL injection

SQL injection adalah sebuah aksi hacking yang dilakukan di aplikasi client dengan cara memodifikasi perintah SQL yang ada di memori aplikasi client,atau bisa juga disebut teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database untuk penyimpanan data. 


Sebab terjadinya SQL Injection :

Tidak adanya penanganan terhadap karakter – karakter tanda petik satu ’ dan juga karakter double minus -- yang menyebabkan suatu aplikasi dapat disisipi dengan perintah SQL. Sehingga seorang Hacker menyisipkan perintah SQL kedalam suatu parameter maupun suatu form. 

Contoh sintak SQL dalam PHP :

1) $SQL = “select * from login where username =’$username’ and password = ‘$password’”; , {dari GET atau POST variable }

2) isikan password dengan string ’ or ’’ = ’

3) hasilnya maka SQL akan seperti ini = “select   * from login where username = ’$username’ and password=’pass’ or ‘=′”; , { dengan SQL ini hasil selection akan selalu TRUE }

4) maka kita bisa inject sintax SQL (dalam hal ini OR) kedalam SQL