6 Langkah Cegah SQL Injection
SQL Injection (SQLi) adalah jenis serangan injeksi yang membuat komputer bisa mengeksekusi statement SQL yang berbahaya. Statement ini mengontrol server database yang ada di belakang aplikasi web. Penyerang dapat menggunakan kerentanan SQL Injection untuk melewati sistem keamanan aplikasi. Begitu mereka berhasil masuk, maka mereka dapat mengakses otentikasi dan otorisasi halaman web atau aplikasi web dan mengambil konten dari seluruh database SQL.
Data adalah yang sangat krusial bagi para praktisi data. Data yang salah akan membuat para stakeholder tidak bisa membuat keputusan yang tepat. Tidak hanya mengambil konten, penyerang juga dapat menggunakan SQL Injection untuk menambah, memodifikasi, dan menghapus catatan dalam database. Tentu saja hal tersebut akan berakibat fatal terhadap keberlangsungan perusahaan. Nah, dalam artikel ini, kita akan membahas mengenai langkah yang bisa digunakan untuk mencegah SQL Injection. Yuk, simak pembahasannya!
1. Bangun dan Pertahankan Awareness
Untuk menjaga keamanan aplikasi web yang kita miliki, maka kita harus bisa membuat setiap orang yang terlibat dalam pembuatan aplikasi web bisa menyadari risiko yang terkait dengan SQL Injections. Kamu bisa mulai memberikan pelatihan keamanan yang sesuai untuk semua pengembang, staff QA, DevOps, dan SysAdmin yang ada.
Selain itu, kamu juga bisa mulai memperlakukan semua input pengguna sebagai input yang tidak terpercaya. Input pengguna apa pun yang digunakan dalam kueri SQL bisa menimbulkan risiko Injeksi SQL. Kamu juga harus memperlakukan input dari pengguna yang diautentikasi dan internal dengan cara yang sama seperti memperlakukan input publik.
Baca juga : Saatnya Belajar SQL, Kenali Rekomendasi Query SQL Bagi Pemula
2. Gunakan Whitelist & Terapkan Teknologi Terbaru
Jangan memfilter input pengguna berdasarkan blacklist karena penyerang yang cerdas hampir selalu menemukan cara untuk menghindari blacklist yang sudah ada. Jika memungkinkan, verifikasi dan filter input pengguna hanya menggunakan whitelist yang ketat. Selain itu, usahakan untuk menggunakan teknologi web development terbaru, termasuk bahasa pemrograman yang digunakan, karena biasanya teknologi yang lebih lama tidak memiliki proteksi SQLi.
3. Gunakan Mekanisme yang Terverifikasi
Cara selanjutnya untuk mencegah SQLi adalah dengan menggunakan mekanisme yang terverifikasi. Jangan mencoba membuat perlindungan SQLi dari awal. Sebagian besar teknologi development modern dapat menawarkan mekanisme untuk melindungi dari SQLi. Gunakan mekanisme seperti itu alih-alih mencoba menemukan kembali kemudi. Misalnya, gunakan query berparameter dan prosedur tersimpan.
4. Scan Secara Teratur (dengan Acunetix)
Pencegahan selanjutnya yang bisa kamu coba adalah dengan melakukan scan secara teratur. SQL Injections dapat diperkenalkan oleh developer mu atau melalui pustaka/modul/software eksternal. Kita perlu melakukan scan aplikasi web secara teratur dengan menggunakan alat scan yang bisa mendeteksi kerentanan web seperti Acunetix. Jika kamu menggunakan Jenkins, kamu harus menginstal plugin Acunetix untuk memindai setiap build secara otomatis.
Baca juga : Catat! Ini 3 Keuntungan Belajar SQL dalam Mengolah Data
Kejahatan bisa terjadi dimana saja, bahkan di dunia digital sekalipun. Segala sesuatu yang berhubungan dengan data customer memang sudah selayaknya untuk dilindungi. Serangan SQL Injection bukanlah satu-satunya kejahatan yang akan kita temui, karena ada banyak sekali kejahatan siber yang mengancam website atau aplikasi yang kita miliki. Sehingga kita harus terus waspada dan terus meningkatkan keamanan website. Namun sebelum masuk ke tingkat advance tersebut, ada baiknya hal-hal yang bersifat fundamental dari SQL loh.
Eits, kamu gak perlu bingung harus belajar SQL dimana karena DQLab juga menyediakan modul SQL yang sangat cocok bagi pemula. DQLab merupakan platform belajar online yang berfokus pada pengenalan Data Science & Artificial Intelligence (AI) dengan menggunakan bahasa pemrograman populer, serta platform edukasi pertama yang mengintegrasi fitur Chat GPT. Selain itu DQLab juga menggunakan metode HERO yaitu Hands-On, Experiential Learning & Outcome-based, yang dirancang ramah untuk pemula.
Untuk mendapatkan pengalaman belajar menarik, buruan sign up di DQLab. Daftar sekarang dan kejar impianmu untuk menjadi Data Analyst!
Penulis : Gifa Delyani Nursyafitri