August 8, 2008
Wordpress merupakan sebuah platform web yang bisa kita gunakan untuk membuat apa aja, mulai dari news, directory, situs iklan baris, top site dan masih banyak lagi. Nah untuk membuat web yang bisa dibilang “bukan blog” seperti aslinya wordpress, kita harus membuat script2 sendiri dan itu berarti kita membuat query-query dengan memanfaatkan fungsi2 builtin yang sudah di sediakan oleh wordpress.
Ketika kita membuat sql query sendiri di script kita, pasti dong kita sudah memproteksi sql query kita dengan yang namanya “anti sql injection”, namun ternyata saya juga baru tahu bahwa di wordpress, terdapat fungsi yang bisa kita pakai langsung untuk memfilter terlebih dahulu sql query kita sebelum kita eksekusi.
Kita bisa menggunakan fungsi $wpdb->prepare(), dimana fungsi ini akan menghilangkan syntax2 yang biasa digunakan cracker untuk meng-inject halaman web anda dengan perintah2 yang bisa membahayakan database kita.
cara penggunaanya adalah :
<?php $sql = $wpdb->prepare( ‘query’[, value_parameter, value_parameter ... ] ); ?>
Contoh yang saya gunakan :
<?
$sql = “Query anda”;
$sql = $wpdb->prepare($sql);
?>
Sumber : http://codex.wordpress.org/Function_Reference/wpdb_Class
6 responses to "Menjaga Custom Query SQL di Wordpress dari serangan SQL Injection"
Thanks buat infonya..
mantap
Wah.. baru tahu saya. Muter-muter di codex belum pernah nemu yang kayak gini
setelah situs iklanads.com kena inject jadi kapok pakai query sendiri. sekarang aku pakai query aslinya saja biar nggak kelocongan yang ke-2 kalinya
thanks bro!
@Belajar Wordpress
Saya juga baru nemu kemarin
makanya saya langsung sharing disini biar ga keburu lupa hehehe.. Padahal dari kemarin2 juga klak klik di codex ga pernah nemu ini ( ya memang ga pernah nyari ini sih? 
)
Wah, belum ngerti nih…bisa dicoba2 dulu dech!
Leave a comment