Assalamualaikum. Wr.Wb sekarang saya akan menjelaskan sedikit basic security pada sebuah website. oke cikidot langsung saja
1. SQL Injection, Bug pada SQL Injection biasanya di sebabkan input an yang belum di filter kemudian inputan tersebut di gunakan untuk menjalankan sebuah query SQL.
contoh :
$nama = $_POST('nama'); atau $_GET('nama');
$query = mysql_query('Eksekusi querynya dengan $nama sebagai salah satu parameternya');
query tersebut akan error jika user menginputkan petik (') pada inputan POST atau petik (') di akhir url pada browser jika menggukanan parameter GET, lalu bagaimana mengatasinya ?
cara untuk mengatasinya pun ada berbagai macam cara,
- mysql_escape_string, untuk implementasinya sangat mudah yaitu dengan menambahkan sedikit code yaitu begini mysql_escape_string($nama); kemudian eksekusi query nya
*Jika mysql_escape_string ada pesan deprecated maka gunakanlah mysql_real_escape_string
*Jika mysql_escape_string ada pesan deprecated maka gunakanlah mysql_real_escape_string
- addslases hampir sama seperti mysql_real_escape_string, cuman berbeda pada sintaxnya jadi begini addslases($nama); kemudian eksekusi query nya
- jika anda menggunakan PHP versi 5.5 atau keatas dan menggunakan PDO saya masih belum mempelajari untuk itu hehehe
2 Atur permission pada file dan folder yang berisi PHP menjadi read only, kenapa ? karena ketika ada bug yang tanpa kita sadari maka orang tidak akan bisa upload sebuah file backdoor pada server kita.
lalu bagaimana kalau kita memerlukan untuk upload gambar atau upload file yang lain ?
jawabannya adalah kita bisa menggukan file htaccess untuk mencegah file pada folder yang di kususkan untuk gambar ataupun dokumen tidak bisa di upload script PHP Python atau Perl.
berikut htaccesnya
pertama buat file bernama .htaccess pada folder root anda atau public_html kemudian isi dengan script berikut :
RewriteEngine on
RewriteEngine on
RewriteRule ^dirktori/.*\.(php|rb|py)$ - [F,L,NC]
penjelasannya adalah kata direktori itu ganti dengan nama direktori yang tidak bisa akses file PHP, Python, ataupun perl lalu silahkan upload script file PHP sendiri untuk mencoba maka hasilnya adalah permission denied, seperti ini hasilnya
*Note htaccess tersebut masih di coba di web server Apache untuk ngix masih belum mencoba
Sekian dulu sedikit tutorial yang dapat saya sampaikan barang kali ada yang masih salah ataupun kurang anda dapat berkomentar di bawah Terima Kasih ^_^