Saturday, August 18, 2018

tutorial patch bug sqli





hae guys ketemu lagi sama mimin:D
Kali Ini Mimin Akan Memberikan Tutorial Patch Bug Sqli Sangat Penting Buat Developer Yang Web Nyaa Terkena Deface:D
Oke Langsung Ajalah

pas kita kasih tanda kutip (') dibelakang angkanya nanti akan muncul tulisan seperti ini
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''' at line 1
nah berarti website itu menunjukan kerentanan terhadap sqli

contoh page yang vuln http://site.com/berita.php?id=18
maka yang vuln di /berita.php
kita buka berita.php

contoh script yang vuln sqli
<?php 

$id_nya = $_GET['id'];
$qberita = "SELECT * from anu, cat where id_nya='$id_nya' and berita.idcat = cat.idcat";
$berita = mysql_query($qberita);

?> 
 
source code di atas tidak ada filter karakter seperti string ( ' ) dan min ( - ) sehingga bisa di inject ,jadi di beri filter supaya tidak bisa di inject


1.dengan memberi perintah is_numeric

Perintah is_numeric


if(!is_numeric($id_nya)) {

    echo "patched in fake-syst3m";

    exit;

  }

jika $id_nya bukan numeric maka akan muncul tulisan "patched in fake-syst3m"

2. dengan memberi mysql_real_escape_string

mysql_real_escape_string di gunakan untuk memberi backslash di beberapa kode untuk di tampilkan pada halaman , jadi semisal seseorang menginject nya maka tidak akan muncul mysql error blablablaa;V , blank dan lain sebagai nya . asedeeeeeentod:v










mysql_real_escape_string

$id_nya = mysql_real_escape_string($_GET['id']);

jadi seperti itulah,kurang lebihnya mohon dimaafkan karena saya juga lagi proses belajar menjadi perogemer web:D
 
thanks to all member IndoSec And IndoXploit
special thanks to Mr.b0g3l 

2 comments:

Redirect ke POST jika hanya ada satu POST di Category maupun Tag WordPress

Tambahkan kode ini di bagian bawah file functions.php pada THEMES Anda. Kode ini akan mengarahkan secara otomatis ke URL POST / Artikel j...