Cara Melindungi Website atau Blog dari SQL Injection

Sql Injection

Tulisan kali ini, Saya akan membahas tentang bagaimana cara melindungi website atau blog dari SQL Injection.

Mungkin jika Anda searching di google, sangat banyak cara-cara yang digunakan untuk memproteksi web atau blog dari sql injection. Dan ini adalah salah satu diantaranya.

Cara yang akan Saya bahas adalah dengan memfilter setiap POST dan GET data (seperti terlihat dibawah ini) sebelum diproses/di insert ke database.

mysql_query("INSERT into `users` (`name`,`email`) VALUES ('$_POST[name]','$_POST[email]')");

Input seperti diatas akan langsung dimasukkan kedalam MySql database tanpa difilter terlebih dahulu.

Salah satu cara untuk memfilter adalah dengan menggunakan fungsi mysql_real_escape_function() dan fungsinya dapat kita tuliskan sebagai berikut:

<?
$name = mysql_real_escape_string($_POST['name']);
?>

Untuk mempermudah proses data diatas, kita buat fungsi pengolahannya, hal ini untuk memudahkan proses input data yang banyak dan berulang-ulang.

function filter($data) {
    $data = trim(htmlentities(strip_tags($data)));
 
    if (get_magic_quotes_gpc())
        $data = stripslashes($data);
 
    $data = mysql_real_escape_string($data);
 
    return $data;
}

Kemudian kita panggil fungsi pengolahannya dengan perintah berikut:

foreach($_POST as $key => $value) {
    $mydata[$key] = filter($value);
}

Akhirnya, masukkan data yang sudah di filter ke perintah Insert data MySql tadi:

mysql_query("INSERT into `users` (`name`,`email`) VALUES ('$mydata[name]','$mydata[email]')");

Nah, sekarang setiap POST dan GET data yang masuk ke website kita akan terlebih dahulu di filter ole script diatas.

Demikian penjelasan singkat bagaimana cara melindungi website atau blog dari SQL Injection. Semoga bermanfaat.