mengenal teknik SQL Injection

SQL Injection adalah sebuah teknik penyerangan sistem yang menggunakan metode code injection, adalah sebuah teknik yang menyalahgunakan sebuah celah keamanan yang terjadi dalam lapisan basis data sebuah aplikasi. Celah ini terjadi ketika masukan pengguna tidak disaring secara benar dari karakter-karakter pelolos bentukan string yang diimbuhkan dalam pernyataan SQL atau masukan pengguna tidak bertipe kuat dan karenanya dijalankan tidak sesuai harapan. Ini sebenarnya adalah sebuah contoh dari sebuah kategori celah keamanan yang lebih umum yang dapat terjadi setiap kali sebuah bahasa pemrograman atau skrip diimbuhkan di dalam bahasa yang lain. 

serangan injeksi SQL memungkinkan penyerang untuk spoofing identitas target, mengutak-atik data yang ada, dapat menyebabkan masalah-masalah yang sangat ditolak seperti membatalkan transaksi atau mengubah saldo, memungkinkan pengungkapan lengkap semua data pada sistem, menghancurkan data atau membuatnya tidak tersedia, dan menjadi administrator dari database server.

Bentuk injeksi SQL ini terjadi ketika masukan pengguna tidak disaring dari karakter-karakter  yang dapat lolos ke SQL dan kemudian diteruskan ke dalam sebuah pernyataan SQL. Ini menimbulkan potensi untuk memanipulasi pernyataan-pernyataan yang dilakukan pada basis data oleh pengguna akhir aplikasi.

Serangan SQL Injection dapat dibagi menjadi tiga kelas berikut :
Inband
Data diekstrak menggunakan saluran yang sama yang digunakan untuk menyuntikkan kode SQL . Ini adalah jenis yang paling sederhana serangan , di mana data yang diambil disajikan langsung di halaman web aplikasi .
Out-of -band
data yang diambil dengan menggunakan saluran yang berbeda ( misalnya , email dengan hasil query yang dihasilkan dan dikirim ke tester ) .
Inferential atau Blind
tidak ada transfer data aktual , tapi tester mampu merekonstruksi informasi dengan mengirimkan permintaan tertentu dan mengamati perilaku yang dihasilkan dari DB Server