SQL injection, atau suntikan SQL, adalah teknik di mana penyerang bisa menyisipkan pernyataan SQL berbahaya ke dalam kueri yang dijalankan oleh aplikasi. Teknik ini memanfaatkan celah keamanan dalam suatu aplikasi, biasanya terjadi ketika input pengguna tidak divalidasi atau disanitasi dengan baik. Akibatnya, penyerang dapat memanipulasi kueri SQL asli dan mendapatkan akses tidak sah ke database, memungkinkan mereka untuk merusak atau mencuri data penting.
Sebagai contoh sederhana, perhatikan fragmen kode PHP berikut yang rentan terhadap SQL injection:
```
$username = $_POST[‘username’];
$password = $_POST[‘password’];
$query = “SELECT * FROM users WHERE username = ‘$username’ AND password = ‘$password’”;
$result = mysqli_query($conn, $query);
?>
```
Pada contoh di atas, penyerang bisa menyisipkan kode SQL berbahaya dalam variabel `username` atau `password`. Jika input tidak disanitasi, penyerang bisa membuat kueri SQL yang lebih kompleks untuk tujuan jahat.
Beberapa metode yang efektif untuk mencegah SQL injection dalam PHP termasuk:
1. Menggunakan Prepared Statements dan Parameterized Queries: Prepared statements memastikan bahwa kode SQL dan data yang dimasukkan terpisah, sehingga input pengguna tidak akan pernah diinterpretasikan sebagai bagian dari perintah SQL. PDO (PHP Data Objects) dan MySQLi keduanya mendukung prepared statements.
Contoh menggunakan PDO: \`\`\`php PDO; $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $stmt = $pdo->prepare(‘SELECT \* FROM users WHERE username = :username AND password = :password’); $stmt->execute([‘username’ => $_POST[‘username’], ‘password’ => $_POST[‘password’]]); $user = $stmt->fetch(); if ($user) { echo ‘Login successful’; } else { echo ‘Invalid credentials’; } } catch (PDOException $e) { echo ‘Connection failed: ‘ . $e->getMessage(); } ?> \`\`\` Contoh menggunakan MySQLi: \`\`\`php connect\_error) { die(‘Connection failed: ‘ . $conn->connect\_error); } $stmt = $conn->prepare(‘SELECT \* FROM users WHERE username = ? AND password = ?’); $stmt->bind_param(‘ss’, $_POST[‘username’], $\_POST[‘password’]); $stmt->execute(); $result = $stmt->get\_result(); if ($result->num\_rows > 0) { echo ‘Login successful’; } else { echo ‘Invalid credentials’; } $stmt->close(); $conn->close(); ?> \`\`\`1. Menggunakan Input Sanitization dan Validation: Sebelum menggunakan input pengguna dalam kueri SQL, penting untuk memvalidasi dan mensanitasi input tersebut. Fungsi `filter_input()` dalam PHP dapat digunakan untuk memfilter input.
\`\`\`php \`\`\`1. Membatasi Hak Akses Database: Pastikan pengguna database yang digunakan untuk mengakses database dalam aplikasi PHP hanya memiliki izin minimum yang diperlukan. Jangan gunakan akun root untuk operasi sehari-hari.
1. Menggunakan ORM (Object-Relational Mapping): ORM dapat membantu mengabstraksi dan mengelola interaksi dengan database, sekaligus menyediakan lapisan keamanan tambahan terhadap SQL injection. Contoh ORM populer dalam PHP adalah Eloquent (dalam Laravel).
1. [OWASP Guide on SQL Injection](https://owasp.org/www-community/attacks/SQL_Injection)
2. [PHP: PDO – Manual](https://www.php.net/manual/en/book.pdo.php)
3. [PHP: mysqli – Manual](https://www.php.net/manual/en/book.mysqli.php)
4. [PHP: filter\_input() Manual](https://www.php.net/manual/en/function.filter-input.php)
Dengan memanfaatkan teknik-teknik di atas, aplikasi PHP bisa lebih aman dari serangan SQL injection. Meskipun begitu, pemahaman mendalam tentang cara kerja SQL injection dan praktik-praktik terbaik dalam pengelolaan input pengguna tetap sangatlah penting.
