Kupas Tuntas SQL Injection & Cara Menanganinya
Pada awal tahun 70-an, Structured Query Language atau dikenal dengan SQL adalah salah satu bahasa pemrograman tertua yang masih digunakan saat ini untuk mengelola database online. Ketika users perlu mengakses informasi database, SQL digunakan untuk mengakses dan menyajikan data tersebut kepada users. Data base dapat berisi data yang lebih sensitif dan berharga seperti username dan kata sandi, informasi kartu kredit, nomor jaminan sosial, nomor kependudukan, dan data penting lainnya. Database berisi data penting semacam ini sangat rawan terkena SQL injection.
Sederhananya, SQL injection adalah tindakan ketika peretas kriminal memasukkan perintah jahat ke dalam formulir web, seperti search field, login field, atau URL, dari situs web yang tidak aman untuk mendapatkan akses tidak sah ke data sensitif dan berharga. Ada beberapa cara yang bisa dilakukan untuk menghindari dan menangani SQL injection. Bagaimana caranya? Yuk kita simak bersama!
1. Pengaruh SQL Injection pada Bisnis
Lembaga Cyber crime Tactics and Techniques melaporkan bahwa semua jenis cyber crime pada bisnis naik 55% pada paruh kedua tahun 2018, sementara serangan terhadap konsumen individu hanya naik 4%. Bisnis dengan keamanan yang buruk menjadi sasaran empuk bagi penjahat, bagaikan memegang harta karun berupa data berharga bernilai jutaan. Bayangkan jika informasi penting perusahaan atau data pribadi konsumen bocor ke tangan yang salah, berapa kerugian yang harus ditanggung oleh perusahaan. Selain itu, bocornya data pribadi dapat disalahgunakan oleh orang yang tidak bertanggung jawab.
Baca juga : Saatnya Belajar SQL, Kenali Rekomendasi Query SQL Bagi Pemula
2. Update Database Management Software
Salah satu cara untuk menghindari SQL injection adalah dengan rutin melakukan update software manajemen database. Pada dasarnya tidak ada software bebas dari bug. Penjahat dunia maya dapat memanfaatkan kerentanan software ini untuk menyusup dan ‘mengobrak abrik’ database kita. Oleh karena itu, kita harus melindungi data dengan menambal celah bagi peretas salah satunya dengan memperbarui software manajemen basis data yang kita gunakan.
3. Menerapkan Principle of Least Privilege (PoLP)
PoLP berarti setiap akun hanya memiliki akses yang cukup untuk melakukan tugasnya dan tidak lebih. Artinya setiap users diberikan batasan akses sesuai kebutuhannya sehingga tidak bisa mengakses database lain yang tidak ia butuhkan. Misalnya, akun web yang hanya memerlukan akses baca ke database tertentu tidak boleh memiliki akses untuk menulis, mengedit, atau mengubah data dengan cara apa pun.
4. Gunakan Prepared Statements atau Stored Procedures
Statement yang telah disiapkan bisa membatasi variabel pada perintah SQL yang masuk. Dengan cara ini, penjahat dunia maya tidak dapat ‘membonceng’ untuk memberikan suntikan SQL berbahaya ke statement SQL yang sah. Prosedur yang telah tersimpan juga membatasi hal-hal tidak diinginkan yang dapat dilakukan oleh penjahat dunia maya dengan menyimpan pernyataan SQL pada database, yang dijalankan dari aplikasi web oleh users.
Baca juga : Catat! Ini 3 Keuntungan Belajar SQL dalam Mengolah Data
Tindakan preventif untuk melindungi data dari serangan cyber sangat penting, terutama bagi tim data. Selain memahami SQL, seorang praktisi data harus bisa menggunakan tools lain seperti R dan Python untuk membantu pengamanan data.
Yuk perdalam skill data science kamu bersama DQLab! Klik button di bawah ini atau sign up melalui DQLab.id untuk mengakses FREE MODUL ‘Introduction to Data Science’ dengan bahasa pemrograman R atau Python. Selesaikan modulnya dan dapatkan sertifikat compliance kamu sebagai modal membangun portfolio data.
Penulis: Galuh Nurvinda K