SQLBY PAS

SADMIN
ATHUTHORBY:S
ONHANDO

sa
lahtekni
ke ks
plo
itasiweby angcukuplama,namunh i
ngg
as a
a t
i
nit e
knikters
ebutma si
hc uk
upmu mpunid a
ne fe
ktifuntukdil
akukan.Bukt
inyasaatini
masi
h
adasaja(danbanyak)we b
sit
ey angmengidappenya
kitvulnterha
daps e
ranga
nS QL
I
nject
ion.
I
ntidaripenye
babb uginiyai
tut er
leta
kp adasipembuatweb( webprogr
ammer),angg
ap
sa
ja
adakesal
ahanlo
gikab e
rpi
kiratauketida
kt a
huaan
nyad al
amme mbuatwe b
sit
ey angaman.
:
)
Sayatekank
ans e
kalilag
i,masala
hb uginiterl
eta
kp adadir
iprogra
mme rweb.Jadi
,
se
handal
apa
puns i
stemoperasiatauwebs er
veryangd i
gunaka
na kanmenjadiper
cumama nak
alasi
pr
ogrammer
memil
ikike
keli
rua
nl ogi
kak e
tikamembanguns e
buahweb,khusu
snyaS QLInje
cti
on.

Se
k i
la
st en
tangSQLipadaFor
mLo g
in
Sep
ertiya
ngk i
taketa
hui
,FormLoginadal
ahFormu
ntu
kme l
akuka
nLo g
in,hal
ahh
h
:
D.F ro
m
Logi
nme nj
adiger
bangataupi
ntuyangakanmembeda
kanda
nmemila
h-mil
ahpengun
jung
sa
t udenga
n
yanglai
nnya,ap
akahdiahan
yaseba
gaipen
gunjun
gb i
asa
,us
erbi
asa(pe
ngupd
ate)
,a t
au
se
bagai
admin
istr
ator,a
tauuserden
gankateg
oril
ainn
ya.

Y
angu
mumk
itak
eta
hui
,da
nin
iya
ngs
ayak
eta
huid
aric
arab
erp
iki
rpr
ogr
amme
r,
se
cara
se
derha
na,aut
enti
kas
ipadaFor
mLo gi
nmempu
nyaite
kni
kse
bag
aibe
rik
ut:
Per
tama,adaseb
uahfor
mu ntu
kme mas
ukk
anuse
rna
medanpas
swo
rd.Mis
aln
yas
epe
rti
be
rik
ut:
Mis
al,namafi
len
yaadal
ahlo
gin.
html

-----------lo
gin
.ht
ml-------------------------------------------------
-------------
<for
mn a
me="for
mlogi
n"me t
hod="POST"acti
on="a
uth.
php">
<tab
le>
<
tr>
<td>Use
rname
</td>
<td>:</
td>
<td><i
nputtype="te
xt"n a
me= "
user
name"></
td>
<
/tr>
<
tr>
<td>Pass
word</
td>
<td>:</
td>
<td><i
nputtype="Pa
ssword
"n ame="pas
swor
d"></t
d>
<
/tr>
<
tr>
<td></td
>
<td></td
>
<td><i
nputtype="Su
bmit"name="lo
gin
"v al
ue="
Logi
n"></
td>
<
/tr>
</ta
ble
>
</fo
rm>
---------------------------------------------------------------------
------------------

Ke
dua
,adas
cri
ptuntukmemva
li
das
ius
ern
amed
anp
ass
wor
dya
ngd
ima
suk
kanu
ser
.
Mi
sal
,na
man
yaa d
ala
ha u
th.
php

-----------a ut
h.p
h p--------------------------------------------------
----------------
<?php
//bi
kinkonek
sidatab
a s
e
i
f($_POST['
lo
gin'
]=="Log
in"
){
$u
ser=$_PO ST['
usern
ame'
]; /
/a mbi
luser
name
$p
ass=md 5($_POS
T[ '
pas
sword'
]); / /ambilpas
swordlal
ujadik
anmd 5

$q=pg_qu
ery
("SELECT*F
ROMu
ser
sWHEREu
ser
name
='$u
ser
'AND
p
ass
wor
d='$p
ass
'")
;

/
/--blablabl
a,d a
ns e
terus
nya--
}
?>
---------------------------------------------------------------------
------------------
Sel
anj
utnya,mis
alka
ns tr
ukturtabe
l"user
s"sebaga
iberi
kut:
+---------+----------+----------------------------------+
|id_u
ser|user
name|p as
sword |
+---------+----------+----------------------------------+
| 1|admin |21 232f297
a57a5a7
43894a0e
4a801
fc3|
| | | |
+---------+----------+----------------------------------+

"
21232f29
7a57a5
a7438
94a0e
4a801f
c3"adal
ahb
entukmd5da
ri"admi
n".
S
ehingg
a,sec
arasede
rhan
a,pros
esper
jal
anand
enganinp
utu
ser
name='admi
n'd
an
p
assword='admin
'adal
ahseba
gaiber
iku
t,u=u s
erna
me,p=pass
word:

+---------------------+
|
u:a dmin,p:a dmi
n|
+----------+----------+
|
+----------+----------+
|
u:a dmin,p:a dmi
n|
+----------+----------+
|
+----------+------------------------------------+
|
u:a dmin,p:21 23
2f297a5
7a5a743
894a0e4a801
fc3
|
+----------+------------------------------------+
|
+----------+---------------------------------------------------------
-----------------------+
|SELECT*F ROMu s
ersWHEREu se
rname='a
dmin'AND
pas
sword='
21232f
297a57a
5a7438
94a0e4a8
01fc3'|
+--------------------------------------------------------------------
-----------------------+

Per
h a
tikan
,k i
tafokuspa
da"pass
word"
.Da r
ipr
osesdiat
as,ki
tatah
ub a
hwa
s
eti
appassword
y
angdibe
rikanakandiub
ahkedalamben
tukmd5,barukemud
iandi
coc
okka
npadadat
a
d
ala
md atabas
e
u
ser(b
aca:tabeluse
r).Hali
tul
ahyan
ga kanmenj
adite
knikse
der
hanadal
amtul
is
anini
.

Co
nto
hS e
ran
gan
U
ntukmela
kuk
ant
ekn
iks
era
nga
nSQLI
nje
cti
on,s
ayap
iki
rki
tami
ni
malt
ahu
fu
ngs
iatautat
a
ca
rap e
man g
gil
ana ta
up er
int
ah-pe
rint
ahS QL(SQLComma n
d).Dansay
ap i
ki
r,se
mua
dat
abasememil
iki
pe
rint
ahS QLy angrel
ati
vesama,:D.Misal
nyapeng
gunaankomen
tar
,a d
ay a
ng
mengg
unakan"--"a tau
"/
**/".Secar
alo g
ika
,k i
tabis
ame l
akuka
nb ypas
sterha
dapf o
rmlog
indeng
antekni
k
te
rseb
ut,,
,
se
derha
nab uka
n?Mi sal
kankit
ama su
kkanu s
erna
me=' '
--',danpas
sworddi
kos
ongk
an.
makaperi
ntahS QLdiata
sa k
anberuba
hme njad
isepe
rtiini
:

SELECT*F ROMuse
rsWHEREu se
rna
me =
''
--'AND
p
ass
word='
d41
d8cd
98f
00b204e
98009
98e
cf8427
e'

k
et:'d
41d8c
d98
f00b
204e
98009
98e
cf8
427
e'a
dal
ahb
ent
ukmd
5da
rik
ara
kte
rko
son
g/
t
ida
ka da
.

Ma
ka,peri
nta
hS QLy
angaka
nd i
eks
ekus
iha
nya:
SELECT*F ROMuse
rsWHEREuser
name
=''

Se
dangk
ans i
san
yamenja
diko
menta
rlant
ara
nini
,'--'
.Nah
,begi
tul
ahc
eri
tan
yak
ena
pa
ki
tabis
a
meng
gunak
ant ek
nikS
QLInj
ecti
onunt
ukmem-b
ybassFo
rmLog
in.

Se
lanj
utnya,aga
rkitabi
sad i
kena
lis
ebag
aius
erter
tent
u,ma kape
rin
tahS QLk i
taharu
s
be
rnil
ai
TRUE.Ji
kak i
tahany
ame nggu
nakanstr
ing"'
--"( ta
npad o
ublek
utip)
,ma kakit
at i
dak
aka
n
di
kenal
iol
ehsist
emkarenauser
name''ti
dakada
.Untu
ki t
u,kitabi
same n
a mba
hkan
pe
rnyataa
n
yan
gb er
nil
aiTRUE,mis
alny
a:

'o
rtrue
--
'o
r1=1
--
'o
r'a
'='
a'--

Dila
inpiha
k,ka
laumisa
lnyaki
tas
uda
hta
huu
ser
name
-ny
a,n
amu
nti
dakt
ahu
pas
sword
nya,k
itabis
a
mengg
unaka
ntekni
kseper
tiin
i:

a
dmi
n'
--
a
dmi
n'ort
rue--
a
dmi
n'or'
1'
='
1'--
Den
gant e
knikyan
gsed
erh
anat
ers
ebu
t,k
itab
isame
nja
diu
ser(
ata
uba
hka
n
ad
minis
trato
r)dal
am
webs
iteter
sebu
t.

Pe
nangg
ulan
ganSede
rhana
Cobaing
at-i
nga
tl a
gipadabag
ianked
uat a
di.S
ayasud
ahwanti
-want
ia g
arAnd
a
meng
ing
ats u
atu
ha
lterka
itpros
esaute
ntik
asius
ern
amed a
np as
sword:
D.In
gat,s
eti
appas
swordaka
n
di
has
hme nj
adi
md5barukemudi
andi
coco
kkan.

Nah,marikitaberp
iki
rkrit
issej
enak
.Ken a
paperi
ntahSQLuntu
kme nc
oco
kkanu s
ern
ame
danpassword
se
pertiitu
?Ke mudi
ank e
napahanyapas
swordyangdiha
shmd5?Haha,ten
tus a
yat i
dak
aka
nme mb u
ato r
ang
su
sahd eng
anme ng
-hashuser
namemenjadimd5
...:p
.Ta p
i,c
obali
hatper
inta
hS QL
be
riku
t :

SELECT*F ROMuser
sWHEREuse
rname
='a
dmi
n'AND
p
ass
word='
2123
2f29
7a5
7a5a7
438
94a
0e4a8
01f
c3'

Adayangkepi
ki
rangag?Set
iappas
sword
,apasa
ja,aka
nd i
has
hda
nme n
jad
i32kar
akt
er
bi
asa
.
Ya
!S el
al
u32Ka r
akter
!!!Ar
tin
ya,per
int
ahSQLyangdima
sukk
ans
eba
gaiti
daka
kan
di
ter
jemahk
ansebag
ai
pe
rin
tahSQL,tapiakanmenj
adi32kara
kte
ryangaca
k

S
eka
ran
g,b
aga
ima
naj
ikap
eri
nta
hSQLt
ers
ebu
tsa
yag
ant
ibe
gin
i?

SELECT*F RO
Mus
ersWHEREp
ass
wor
d='
2123
2f29
7a5
7a5
a743
894a
0e4a
801
fc3
'AND
u
ser
name='
admi
n'

Ma
ka,j
ikaa
dao
ran
gya
ngme
nco
ba"
admi
n'
--"
,pa
li
ngt
ida
kak
ans
epe
rtii
ni
:

SELECT*F ROMu s
ersWHEREp
ass
wor
d='
di
_si
ni
_pa
sti
_ka
rak
ter
_md
5'AND
u
ser
name='
admi
n'--'

Ar
tin
ya,per
inta
hSQLapa
punti
daka
kanbi
sadi
masu
kkank
aren
a'pas
swo
rd'ha
russe
sua
i
de
nga
np a
ssword
ya
ngadadala
mt ab
el:
D.Oke
,it
udul
u,s
emog
asayabi
sati
durden
gante
nangmal
amini
.
Nah,i
tul
ahtekni
ky a
ngsayabi
lan
gsede
rhan
a.San
gatsed
erhan
abu
kan
?Ta
pi,s
emo
ga
ba
nyakora
ngy a
ng
sa
dardeng
ank e
sed
erhan
annini
.
Mungk
in,kar
enater
lampaus
eder
hana
,jaditi
dakte
rpi
ki
rkan
.

No
tic
e:J
ang
ans
eri
ng-s
eri
ngn
gef
akeb
rayl
ude
fac
era
paf
ake
rha
ha:
v