Langsung ke konten utama

Mengenal PHP

 Mengenal  PHP

Saat kita mulai membuat aplikasi berbasis web dengan menggunakan PHP tentu kita akan berfokus pada cara pembuatannya, bagaimana mengimplementasikan logika sehingga menghasilkan suatu karya (sistem) yang berjalan sesuai dengan keinginan dan kebutuhan kita.
Tapi ada kalanya kita perlu membalik pola pikir tersebut dengan memandang sebagai seorang user (pengguna aplikasi) yang mungkin memiliki waktu lebih banyak dalam penggunaan aplikasi tersebut. Dalam hal ini banyak hal yang mungkin tidak kita perhatikan dari aplikasi buatan kita tersebut oleh karena itu ada pepatah “Tidak
ada sistem yang sempurna.” tetapi penulis akan memberikan sedikit informasi keamanan dasar sehingga kita bisa sedikit melangkah menuju kesempurnaan tersebut.
Beberapa hal yang perlu diperhatikan dalam langkah percobaan para cracker untuk memboikot akses website kita antara lain :
1.  Melalui URL (method GET)
2. Melalui media input yang terdapat dalam form (method POST)
Sebagaimana kita ketahui bahwa terdapat 2 cara umum pengiriman variable dalam PHP yaitu GET dan POST sehingga perlu penanganan khusus dalam penerimaan serta pengiriman variable tersebut.
Untuk method POST :
Method POST merupakan penangkapan variable dari media input yang terdapat dalam FORM.
1. Batasi jumlah karakter (maxlength)
Pembatasan jumlah karakter dalam media input sangat penting sehingga tidak dimungkinkan penulisan script seperti javascript pada inputbox tersebut.
Contoh implementasi :
Titik rawan : Input Login (username dan password), Input search
2. Lapisi dengan penahan kutip atau addslashes()
Fungsi PHP ini akan membantu kita menambahkan tanda kutip (’) pada setiap karakter garing (/) sehingga dapat mencegah timbulnya efek SQL injection. Saya rasa teknik hacking ini cukup populer diantara anda. Penambahan kutip akan membuat garing menjadi bertipe string sehingga tidak dianggap sebagai salah satu perintah query pada MySQL / SQL.
Contoh implementasi : addslashes($_POST['_username'])
Titik rawan : Form Login
3. Lapisi dengan penahan tag atau htmlspecialchars()
Untuk mencegah terjadinya teknik hacking xss atau javascript injection maka ada baiknya kita menambahkan fungsi tersebut. Hal ini akan membuat tag html maupun javascript memiliki tipe data string sehingga tidak akan dieksekusi oleh browser.
Apabila script dimungkinkan dalam media input sehingga masuk ke dalam database dan saat browser membuka halaman yang terkontaminasi tersebut maka browser akan melakukan eksekusi terhadap perintah tersebut yang biasanya dalam bentuk javascript.
Contoh implementasi : htmlspecialchars($_POST['pesan'])
Titik rawan : Form Login, Form Kontak Admin
4. Perhatikan nama media input
Sudah saatnya kita berusaha sedikit lebih unik dalam menentukan nama pada media input kita sehingga mempersulit beberapa tools penjahat yang menggunakan library (kamus kata) dalam penentuan nama variable incarannya. Misalnya pada media input login tambahkan garis bawah. Tentu anda memiliki ide sendiri dalam
mengimplementasikan hal ini.
Contoh implementasi :
Titik rawan : Input Login (username dan password)
Untuk method GET :
Method get merupakan penangkapan variable yang berasal dari URL.
1. Gunakan .htaccess
Sebenarnya ini adalah sebuah metode yang menjadikan website kita seakan memiliki
struktur direktori yang luas, padahal itu adalah variable. Sehingga memecah
konsentrasi dari pengunjung yang berniat isenk. Bila halaman tidak ditemukan maka
kita dapat meredirectnya ke halaman 404 kesayangan kita.
Implementasi :


RewriteEngine On
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ index.php?page=$1 [L]

RewriteEngine on
RewriteCond %{HTTP_HOST} ^mydomain.com$ [NC]
RewriteRule ^(.*) http://www.mydomain.com/$1 [L,R=301]


2. Hindari $_REQUEST()
Metode ini digunakan untuk menangkap variable dalam bentuk POST dan GET. Ada kalanya kita membutuhkan metode penerimaan variable dengan menggunakan fungsi ini, tetapi batasilah penggunaannya karena tanpa disadari suatu saat anda akan mendapatkan masalah karena hal ini. Dan bila kita telah terlanjur menggunakannya pada seluruh aplikasi kita maka kita akan sulit untuk merubah (Bisa, dengan memilah mana yang tidak perlu dan benar-benar menggunakan.).
Tambahan :
1. Session dan Cookies timeout
Gunakan timeout pada session atau cookies terutama untuk pengenalan login. Session merupakan penanda dari sisi server dan akan hilang apabila browser ditutup, sedangkan cookies adalah pengenalan dari sisi browser dan bila tidak diset timeout maka status akan terus login (pada pengenalan login.), tentu saja anda tau kemungkinan-kemungkinan yang akan terjadi selanjutnya.
Label:

Postingan populer dari blog ini

Cara Mudah Dapat Uang/Duit Dollar dari Ziddu

Cara Mudah Dapat Uang/Duit Dollar dari Ziddu Langkah  atau  Cara  mendapat kan Uang / Duit dari  ziddu.com  sebenarnya sangat mudah asal tau caranya . Intinya di  ziddu.com  kita berbagi file dan  dibayar, nah itulah prinsip kerja  Ziddu.com Ziddu.com adalah salah satu dari sekian banyak layanan untuk meng-upload dan men-download data/file. Salah satu yang membedakan Ziddu  dengan yang lain adalah  kita akan dibayar  ketika ada seseorang yang mendownload file yang kita upload. Bonus akan diberikan setiap ada orang yang men-download file kita , kita di bayar Dollar Bonus juga akan diberikan jika kita merekomendasikan orang lain untuk bergabung dengan  Ziddu.com  dan besarnya adalah $0.10 sampai $0.30 Jadi ada baiknya kita juga promosikan  Ziddu.com  kepada orang lain melalui  referral link yang telah diberikan kepada kita, atau agar lebih menarik gunakan banner yang telah disediakan atau tidak  pun...
Baca selengkapnya

Instal HP Mini 210

hp-miniTernyata banyak juga ya yang kesulitan install windows xp di hp mini… Khususnya hp mini tipe 210 yang tidak sepaket dengan OS. Saya juga pusing dibuatnya berbagai masalah muncul saat menginstall windows. Beberapa masalah tersebut antara lain : 1. Pada saat penginstallan atau ditengah-tengah proses install terjadi blue-screen atau seperti terjadi konflik hardware. 2. Dikatakan ada virus dan proses install windows tidak bisa dilanjutkan. 3. Setup windows bisa di load tetapi anehnya HDD di internal tidak terbaca, dan ini terutama terjadi dengan penginstallan menggunakan usb. 4. Dll.. dll.. Saya ngga sempat membuat tutorialnya tapi secara singkat saja dan seharusnya ini mudah dimengerti dan akar permasalahannya ada di driver. Hal-hal yang anda butuhkan sebelum proses install xp di Hp mini: * Software nlite – software untuk mengcompile installasi windows sekalian driver. * Software WintoFlash – untuk membuat flash disk seolah2 seperti cd installer windows xp. Dan so...
Baca selengkapnya

10 SMARTPHONE Terbaik Tahun 2011

10 SMARTPHONE Terbaik Tahun 2011  Inilah Nominasi 10 SmartPhone Terbaik 2011  1.Apple iPhone 4g Iphone appple selalu bisa mengimbangi persaingan dengan basis aplikasi yang kuat, spesifikasi , desain dan fitur yang hebat.Iphone 4g menggunakan layar berkualitas tinggi yang tahan gores, dan tahan lama yang dilengkapi dengan layar resolusi tinggi. Chip A4 dari apel meningkatkan kinerja dan meningkatkan efisiensi baterai. game Mengesankan, foto dan basis aplikasi besar adalah keunggulan iphone 4Gs . 2. Motorola Droid 2  Motorola Droid 2 telah menjadi perubahan yang signifikan dari model sebelumnya dalam seri Droid.Telepon berbasis Android didukung prosesor 1 GHz dan memiliki memori internal 8GB bersama dengan memori yang dapat diupgrade 32GB. Droid 2 menggabungkan keyboard geser dan RAM 512MB. Namun titik minus adalah kurangnya kualitas kamera depan. Layar sentuh besar dan kualitas suara yang mengesankan bersama dengan kemampuan media merupak...
Baca selengkapnya