MySQL: Cara Dapetin Nama Schema, Tabel, & Kolom

Ini query-query yang bisa dipake di MySQL buat ngedapetin nama semua schema (database), tabel, & field yang terdaftar. Normalnya sih kalo kita mau dapetin informasi-informasi itu kita bisa pake perintah-perintah di bawah ini.

show databases;
show tables;
describe (nama tabel);

Yang di atas ini udah pernah gw bahas di postingan ini, & normalnya sih kalo kita jalanin MySQL dari command line Windows atau Linux pasti lebih enak make perintah-perintah di atas daripada yang bakal gw bahas di sini. Tapi ya, kalo kita lagi mau…ehem…ngebobol website pake SQL injection, rasanya sih query-query yang di bawah ini lebih memungkinkan buat dipake daripada tiga perintah di atas. Apalagi query yang bakal gw jelasin di bawah ini bisa disambung dengan query asli dari websitenya pake operator UNION.

Continue reading

SQL Injection

SQL injection ini salah satu cara yang bisa dipake buat ngejebol website, tapi sekarang-sekarang ini sih kebanyakan website securitynya udah lumayan bagus & rada susah buat make SQL injection. Buat ngelakuin SQL injection, kita bisa pake inputan text box di web page yang jadi target. Anggep aja kita mau nyoba SQL injection di halaman login website X yang punya text box untuk login form & tabel user yang isinya field user_id & password. Query SQL yang dijalanin dalam databasenya kira-kira begini nanti.

SELECT * FROM user WHERE user_id='(isi text box username)' AND password='(isi text box password)';

Untuk password, kemungkinan isi databasenya udah dienkripsi (biasanya pake enkripsi MD5), jadi yang dibandingin dengan isi databasenya nanti data password yang udah dienkripsi juga. Tapi anggep aja kita nggak pake enkripsi untuk passwordnya kali ini. Kalo kita login sebagai user yang punya username “bocah” & password “sial”, query yang dijalanin nanti kayak begini.

SELECT * FROM user WHERE user_id='bocah' AND password='sial';

Continue reading

MySQL Query

MySQL adalah salah satu software DBMS (Database Management System) yang banyak digunakan saat ini. Untuk yang belum menginstall MySQL bisa mendownload & menginstall XAMPP. Di dalamnya sudah terdapat MySQL.

Setelah XAMPP terinstall, jalankan Command Prompt (untuk pengguna Windows) & ketikkan perintah seperti ini.

cd c:\xampp\mysql\bin

Jika XAMPP diinstall di direktori lain, pindah ke direktori tersebut dan masuk ke direktori xampp\mysql\bin. Pastikan MySQL sudah diaktifkan di XAMPP Control Panel. Setelah itu, ketikkan perintah di bawah ini untuk menjalankan MySQL.

mysql -u root

Continue reading