Ini adalah kod mudah bagi mengatasi masalah serangan SQL Injection. Kaedah ini dapat mengelakkan Penggodam / Hacker untuk memasukkan kod untuk menyerang SQL anda secara terus.
Sebelum itu mari kita lihat bagaimana SQL INJECTION ini biasanya terjadi.
http://www.belajarapp.com/ahli.php?id=100
Daripada link ini kita boleh maklumat tentang ahli id = 100
Arahan Query anda:
$SQL_arahan= "select nama from ahli where id=".$_GET['id']; // sesiapa sahaja boleh lakukan inject pada query ini dengan menambah URL.
Arahan Query yang SELAMAT:
$SQL_arahan= "select nama from ahli where id=".semak_injection($_GET['id']); // Sekarang ia menjadi lebih selamat.
Kod :
function semak_injection($data) { // buangkan whitespaces di mula dan akhir $data = trim($data); // gunakan stripslashes untuk elakkan double escape if magic_quotes_gpc is enabledif(get_magic_quotes_gpc()){ $data = stripslashes($data);} // connection diperlukan sebelum menggunakan function ini $data=mysqli_real_escape_string($conn,$data); return $data; }
Ini adalah contoh mudah yang kebanyakan programmer telah gunakan.
Leave a Reply