Belajar Pemrograman Gratis
Belajar Pemrograman Gratis
Cara Menghindari SQL
Academy Database

Cara Menghindari SQL Injection

Sebagai developer, kamu pasti sadar bahwa keamanan aplikasi adalah hal yang sangat penting. Namun, sering kali, aspek ini justru diabaikan karena fokus utama lebih ke pengembangan fitur. Padahal, serangan siber bisa datang kapan saja, dan salah satu bentuk serangan paling umum yang mengintai para developer adalah SQL injection.

Nah, dalam artikel ini, kamu akan belajar mengenai security best practices dan secara khusus membahas cara menghindari SQL injection. Tenang saja, penyampaiannya bakal santai dan mudah dicerna, jadi pastikan kamu simak sampai akhir, ya!

Apa Itu SQL Injection?

Sebelum masuk ke cara pencegahannya, kamu harus paham dulu apa itu SQL injection. Singkatnya, SQL injection adalah teknik peretasan ketika penyerang memanipulasi query SQL melalui input yang tidak divalidasi dengan benar oleh sistem.

💻 Mulai Belajar Pemrograman

Belajar pemrograman di Dicoding Academy dan mulai perjalanan Anda sebagai developer profesional.

Daftar Sekarang

Sebagai contoh, jika kamu punya form login sederhana saat penggunanya memasukkan username dan password, lalu input tersebut langsung digunakan dalam query seperti ini:

Penyerang pun bisa memasukkan string seperti ini dalam bagian username.

Hasilnya? Query tersebut akan selalu bernilai true dan penyerang pun bisa login tanpa mengetahui password sebenarnya. Serem, kan?

Mengapa Developer Indonesia Perlu Waspada?

Kamu mungkin berpikir, “Ah, aku kan cuma bikin aplikasi kecil-kecilan, masa sih ada yang mau nge-hack?” Nah, justru karena banyak developer berpikiran seperti ini, pelaku kejahatan dunia maya jadi makin gencar mencari celah. 

Di Indonesia sendiri, masih banyak aplikasi buatan lokal yang minim praktik keamanan standar, terutama untuk aplikasi UMKM, startup kecil, maupun proyek internal.

Jika ingin aplikasi buatanmu aman, bisa dipercaya, dan bertahan dalam jangka panjang, kamu wajib mempelajari security best practices sedini mungkin.

Cara Menghindari SQL Injection

SQL injection bisa dicegah dengan beberapa teknik sederhana, tapi krusial. Berikut adalah beberapa tips dan teknik yang bisa kamu terapkan sekarang juga.

1. Gunakan Prepared Statements (Statement Terbuka Saja Tidak Cukup!)

Penggunaan prepared statements atau parameterized queries adalah cara paling direkomendasikan untuk mencegah SQL injection. Saat kamu menggunakan teknik ini, input dari pengguna tidak langsung disisipkan pada query SQL, tetapi diproses sebagai data oleh database engine sehingga mencegah interpreter SQL memproses input sebagai instruksi query.

Contoh penggunaan dalam PHP (dengan PDO).

Dengan cara ini, input yang diberikan oleh pengguna tidak akan dianggap sebagai bagian dari query itu sendiri oleh database, tetapi hanya sebagai data biasa. Ini adalah salah satu cara paling aman dan efektif untuk melindungi aplikasi kamu dari SQL injection.

2. Validasi dan Sanitasi Input

Selalu validasi data yang masuk dari pengguna. Namun, perlu diingat, validasi input bukanlah satu-satunya cara untuk mencegah SQL injection, dan kamu tidak boleh menganggapnya sebagai lapisan keamanan utama.Beberapa hal yang perlu kamu lakukan sebagai berikut.

  • Gunakan regex untuk membatasi format input, misalnya memastikan input berupa email, nomor, atau teks tertentu. Namun ingat, ini lebih berguna untuk memastikan format data sesuai dengan harapan, bukan untuk mencegah injeksi SQL secara langsung.
  • Fokus utama tetap pada penggunaan prepared statements dan parameterized queries.
  • Sanitasi input harus disesuaikan dengan konteks: input untuk tampilan (display) bisa disanitasi dengan HTML encoding, sedangkan untuk database harus menggunakan parameterisasi.

Jadi, tetap lakukan validasi untuk menjaga keutuhan serta kualitas data, tapi selalu gabungkan dengan pendekatan yang lebih kuat, seperti prepared statements dan ORM.

Contoh sederhana dalam PHP sebagai berikut.

3. Batasi Hak Akses ke Database

Jangan memberikan akses penuh pada semua user aplikasi. Buat akun user khusus untuk aplikasi dengan hak akses seperlunya saja. Misalnya, jika aplikasi hanya perlu akses SELECT dan INSERT, jangan beri hak akses DROP atau DELETE.

Beberapa praktik yang bisa kamu ikuti:

  • Buat user database khusus untuk setiap environment (dev, staging, production).
  • Aktifkan sistem logging pada query yang mencurigakan.
  • Gunakan lapisan perlindungan tambahan, seperti web application firewall (WAF) jika memungkinkan, untuk memantau dan memfilter lalu lintas berbahaya.
  • Jika yang dimaksud adalah fitur DBMS, seperti resource control, IP whitelisting, atau pengaturan pengguna role-based access control, pastikan itu juga diterapkan.

Penjelasan soal “firewall database” perlu kamu pahami secara lebih tepat. Dalam praktiknya, istilah ini bisa merujuk baik ke WAF, seperti Cloudflare, AWS WAF, atau ModSecurity, maupun ke sistem internal DBMS, seperti PostgreSQL pg_hba.conf atau MySQL user privilege system, yang dapat digunakan untuk membatasi akses IP atau jenis perintah SQL yang bisa dijalankan.

4. Gunakan ORM (Object Relational Mapping)

Kalau menggunakan framework modern, seperti Laravel, Django, atau Ruby on Rails, kamu beruntung! Framework-framework ini sudah memiliki ORM built-in yang sangat membantu dalam mencegah SQL injection.

Contoh query menggunakan Eloquent ORM pada Laravel sebagai berikut.

Penggunaan ORM membuat kamu hampir tidak perlu menulis query SQL mentah.

5. Terapkan Pengetesan Keamanan

Jangan lupa juga untuk rutin mengecek dan mengetes ketahanan keamanan aplikasimu.

Beberapa alat yang bisa kamu gunakan:

  • SQLMap (untuk melakukan testing otomatis terhadap kerentanan SQL injection),
  • OWASP ZAP (web scanner gratis yang sangat powerful), dan
  • Burp Suite (versi gratis juga tersedia!).

Tujuan dari pengetesan ini adalah untuk mengidentifikasi celah keamanan sebelum ditembus oleh hacker sungguhan.

Jangan Lupa Edukasi & Dokumentasi

Selain menerapkan teknik di atas, penting juga untuk mengedukasi tim developer dan membuat dokumentasi internal tentang praktik keamanan. Kalau kerja dalam tim, pastikan semua orang paham standar yang digunakan dan bisa menjaga keamanan aplikasi bersama-sama.

Misalnya berikut.

  • Buat checklist keamanan untuk setiap kali deploy.
  • Adakan code review dengan fokus ke aspek security.
  • Share artikel atau berita terbaru soal cybersecurity di grup developermu.

Kesimpulan

Menerapkan prinsip keamanan, khususnya dalam mencegah SQL injection—bukan sesuatu yang harus ditunda-tunda. Dengan sedikit disiplin dan perhatian lebih terhadap input pengguna serta penggunaan tools yang tepat, kamu bisa membangun aplikasi yang jauh lebih aman dan terlindungi dari serangan nekat.

Ingat, keamanan adalah tanggung jawab kita semua sebagai developer. Jangan sampai aplikasimu menjadi jalan masuk bagi peretas.

Sudah saatnya kamu lebih peduli terhadap keamanan aplikasi!

Yuk, mulai sekarang cek kembali kode-kodemu, apakah sudah aman dari SQL injection

Also on Dicoding Blog

Core ML: Membangun Aplikasi iOS Berbasis Machine Learning
Core ML: Membangun Aplikasi iOS Berbasis Machine Learning
 Tahun 2025 Ingin Jadi Data Scientist?
Tahun 2025 Ingin Jadi Data Scientist? Temukan Rahasia dan Fakta Menariknya!
Mengenal On Premise: Pilihan Infrastruktur IT untuk Kontrol Penuh Data
 Banner blog bertuliskan judul "Apa Itu Matematika Diskrit dan Bagaimana Penerapannya?"
Apa Itu Matematika Diskrit dan Bagaimana Penerapannya?
 Mengenal OOP
Mengenal OOP: Konsep dan Contoh
 PHP Terbaru
PHP Terbaru 2025: Apa yang Perlu Diketahui Developer?
 Banner blog berjudul "Cloud Storage Penyimpanan Serbaguna dalam Era Teknologi".
Cloud Storage: Penyimpanan Serbaguna dalam Era Teknologi
 Mengenal Generative AI
Belajar Generative AI: Panduan Awal Prompt Engineering untuk Pemula
Belajar Pemrograman Gratis
Belajar pemrograman di Dicoding Academy dan mulai perjalanan Anda sebagai developer profesional.
Coba Sekarang