1 (edited by aprianto 03-03-2010 21:38:44)

Topic: URL injection

salam buat semua penghuni....


langsung saja untuk masalah ini, sudah pernah gak agan2 mencoba mengakali link artikel yang seperti ini  misal kita memiliki alamat url http://www.test.com?id=9, bagaimana menjadikan alamat tersebut menjadi http://www.test.com/artikel/ tanpa menggunakan embel2 id=9 atau bla2 tapi tetep menampilkan artikel yang sama.. karena masalah menggunakan id=[id artikel] dapat membuat orang untuk melakukan sql injection. saya sudah mencoba menginject beberapa website teman saya untuk mencoba keamanan web tersebut. dan hasilnya menjadikan website down. beberapa artikel pernah saya baca dengan mengakali seperti ini :

$id=abs(int) $_REQUEST['id'];

yang maksudnya membuat nilai id adalah positif. karena bila kita membuat id=-9 or -6 dan sebagainya dapat membahayakan  website tersebut. maka bagaimana membuat format tersebut menjadi hal yang saya minta tadi yaitu http://www.test.com/artikel/,  mohon pencerahannya..


regard,

Aprianto

Re: URL injection

anda bisa pakai .htaccess

bila ingin seperti ini (contoh):
domain.com/category-name/ => maka seperti ini:

RewriteEngine on
RewriteRule ^([A-Za-z0-9-]+)/?$             category.php?name=$1 [L]

dan sebagainya..coba cari artikel tentang .htaccess pasti dah ketemu jawabanya.

Re: URL injection

itu masalah di coding nya. kalo misal variable id di cek dulu ebelum di masukkan ke mysql kyknya ngak akan terjadi injection spt yang disebutkan diatas.
contoh paling mudah menangkal injection adalah menggunakan mysql_escape_string($variable)

semoga membantu

http://icare.jagoanhosting.com/banners/footer-jagoan-hosting-indonesia.gif << web hosting surabaya, mo bikin web murah n kalo ada apa-apa bisa langsung disamperin big_smile
Guling-guling ... http://www.mysmiley.net/imgs/smile/happy/happy0071.gif hihihihi jadi pusing