Elakkan SQL Injection dengan halang special characters

Assalam,

Banyak perkara perlu diambil kita dalam pembangunan sistem berasaskan web. Salah satu ialah keselamatan. Cara hacking yang popular ialah menggunakan SQL Injection.

SQL Injection di mana penggodam cuba masuk ke dalam sistem kita dengan menghantar keratan SQL kepada URL atau input field kita seperti laman login. Anda boleh mencuba sendiri dengan menaip salah satu senarai di bawah ke dalam field input anda.

' or '1'='1
' or '1'='1' -- '
' or '1'='1' ({ '
' or '1'='1' /* '

Kebiasaannya, SQL Injection akan menggunakan special characters. Jadi salah satu cara kita pengelakkan SQL Injection ialah menghapuskan sebarang special character sekiranya terdapat input sedemikian. Cuba tambah kod di bawah.

$username = $_POST['field_username'];
$username = preg_replace('/[^a-z0-9]/i', '', $username);

Kod tersebut akan menghapuskan semua special characters dan cuma tinggalkan aksara dan integer sahaja. Sekiranya terdapat tempat yang menggunakan special characters. Anda perlu menggunakan method lain.

Selamat mencuba.

rais.my

Leave a Reply

Your email address will not be published. Required fields are marked *

*