Page 1 of 1
[tanya] ttg sebab SQLi
Posted: Thu Aug 12, 2010 11:02 am
by princenux
permisi....
newbie mo tanya dong... :tapa:
kan banyak nih tutorial ttg sqli.. yg dari url.. di order by.. di union select dsb dsb...
nah sebenernya.. kalo SQLi itu masalahnya ada di webserver dan mysql nya.. atau di paket nya (kaya xampp atau apserve), atau lebih dominan ke coding dari php nya...
Re: [tanya] ttg sebab SQLi
Posted: Thu Aug 12, 2010 2:29 pm
by shadow_xid
q ngx ngerti benar gmana sql itu. . Tp yg pernah q baca, biasanya suatu web bisa di inject karena coding phpny rentan. . .
Maaf klo krg tepat. . :maaf:
Qt tunggu master sqli aja mampir.
Re: [tanya] ttg sebab SQLi
Posted: Thu Aug 12, 2010 8:14 pm
by shinichi81
princenux wrote:permisi....
newbie mo tanya dong... :tapa:
kan banyak nih tutorial ttg sqli.. yg dari url.. di order by.. di union select dsb dsb...
nah sebenernya.. kalo SQLi itu masalahnya ada di webserver dan mysql nya.. atau di paket nya (kaya xampp atau apserve), atau lebih dominan ke coding dari php nya...
yang jadi penyebabnya kenapa ada Sqli sama Blind Sqli terletap pada coding sql-nya kk....makanya ada web Php yang kita coba inject sql-nya tapi gak bisa karena sudah di patch..mohon koreksi kalau salah
Re: [tanya] ttg sebab SQLi
Posted: Thu Aug 12, 2010 11:41 pm
by elangjawa24
bisa terjadi karena kesalahan coding, salah satunya kesalahan coding PHP sebagai berikut :
~ tidak adanya filter pada parameter/variable
Code: Select all
http://facebook.com/profile.php?id=2123232323
parameter
id diatas kalo gak difilter value-nya bisa jadi kena SQLi
~ tidak adanya filter terhadap field suatu form
field diatas jika tidak difilter memungkinkan untuk di injeksi
:circle:
CMIIW
Re: [tanya] ttg sebab SQLi
Posted: Fri Aug 13, 2010 1:25 am
by 3xtr3m3b0y
Penyebabnya krn MySQL memperbolehkan penggunaan Fungsi UNION.
Re: [tanya] ttg sebab SQLi
Posted: Mon Aug 16, 2010 3:20 pm
by princenux
jadi ...
kalo misalnya nih.. ada web.. yg vuln dengan SQLi..
kita bisa cek dari MySQLnya dulu...
support union atau ga.. dsb..
lalu... PHP codingnya..
masalah filter id, atau form filtering..
gimana dengan web servernya.. apache ?
apa berpengaruh juga ?
kalo di liat sih apache mungkin cuma dari error nya aja...
mungkin gak usah di tampilin, atau di ganti error page...
atau ada yg lain dari webservernya ? (dalam scope SQLi) :tapa:
di sisi lain...
ada gak masalah di web yg bukan php... :gebrak:
misalnya asp.. atau cfm.... :kaca:
atau 'most' SQLi itu di PHP dan MySQL ? :omg:
----------------------------
pertanyaan tambahan nih..
kalo blind SQLi.. kalo kita udah bisa dapet informasi table, column dsb..
apakah kita juga bisa menggunakan command sql update ? atau cuma bisa select aja ??
*just wondering
Re: [tanya] ttg sebab SQLi
Posted: Tue Aug 17, 2010 10:45 am
by 3xtr3m3b0y
Fokusnya pada database berbasis SQL, jd apapun jenis pembuat program dan database serverx selama menggunakan SQL
ada kemungkinan bisa dilakukan SQL Injection.
Pertanyaan kedua mgkn ada kaitannya dgn topik yg dibahas di:
http://forum.xcode.or.id/viewtopic.php?f=99&t=39956
Re: [tanya] ttg sebab SQLi
Posted: Fri Aug 20, 2010 9:36 am
by princenux
maap nih.. mo tanya lagi.. kebetulan ada yg terlintas.... :tapa:
ttg mysql union function....
itu ada di mysql server... apa setiap server ada mysql union function ?
apakah ada yg di enable dan ada yg di disable ?
kalo satu site di hosting kan ke webhosting..
maka kalau si hosting gak gituh care.. maka semua database mysql yg ada di hosting itu.. ada union functionnya semua dong... atau gimana ?
bisa sedikit kasih pencerahan ?
Re: [tanya] ttg sebab SQLi
Posted: Thu Aug 26, 2010 4:10 pm
by pelez
iseng2 tadi nybain pake tanda (')
trus dapat gini ;
Software error:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''1103 order by 21/''
order by length(nempartfile.fitlist) asc, nempartfile.p' at line 11 select nempartfile.partnumber, nempartfile.shortdesc, nempartfile.saleprice, nemphotos.imageurl, nempartfile.onhand
from nempartfile, nemfitlist, nemmanufact, nemphotos
where
nempartfile.discontinued = '0' and
nempartfile.published = '1' and
nemmanufact.our = '1' and
nempartfile.manufact = nemmanufact.abbreviation and
nempartfile.default_photo_id = nemphotos.photo_id and
nempartfile.part_id = nemfitlist.part_id and nemfitlist.car_id = '1103 order by 21/''
order by length(nempartfile.fitlist) asc, nempartfile.partnumber
limit 400
For help, please send mail to this site's webmaster, giving this error message and the time and date of the error.
>> ini kategory sql injection juga ya? trus mau nanya sebenarnya apa bedanya pake tool dengan manual ? kadang gw klo pake tool banyak data yg di coloum gak bisa dibaca, gak tau klo nyobain manual apa hasilnya sama aja?
soalnya ane blum mahir klo manual
Re: [tanya] ttg sebab SQLi
Posted: Sun Aug 29, 2010 11:36 am
by shinichi81
sebernya kalau SQli teh ada 2macam yaitu SQli sama blind Sqli..perbedannya dilihat dari cara tampilan webnya ketika kita mencoba melakukan injection.gitu kk