Anti Bypass Admin dengan PHP

Hallo guys , kali ini mimin mau kasih sedikit ilmu tentang anti bypass admin . Seperti kalian ketahui banyak website yang di retas dengan metode Bypas admin login , contoh nya seperti :

  • ‘=”or’
  • ‘or 1=1
  • dll

Okey langsung saja ya sebagai contoh :

kita buat file dengan nama login.php , code nya :

<!DOCTYPE html>
 <html>
 <head>
 <title>Login</title>
 </head>
 <body>
 <div class="login">
 <h2><center>Log In</center></h2>
 <form action="proseslogin.php" method="POST">
 <input type="text" name="username" class="text" placeholder="Username"><br>
 <input type="password" name="password" class="text" placeholder="Password"><br><br>
 <input type="submit" placeholder="login" value="Log In" class="submit">
 </form>
 </div>
 </body>
 </html>


Dan buat file proses_login.php :

<?php
session_start();

function antiinjection($data){
 $filter_sql = mysql_real_escape_string(stripslashes(strip_tags(htmlspecialchars($data,ENT_QUOTES))));
 return $filter_sql;
}

$username = antiinjection($_POST['username']);
$password = md5(antiinjection($_POST['password']));
$sql = "SELECT username, password FROM admin WHERE username = '$username'";

//cek username di database
$query = $db->query($sql);
$hasil = $query->fetch_assoc();
if ($query->num_rows == 0) 
{
 include 'login.php';
 echo "<script>alert('Username not register');</script>";
}else
{
 if ($password <> $hasil['password']) 
 {
 include 'login.php';
 echo"<script>alert('Password wrong');</script>";
 }else
 {
 $_SESSION['isLoggedIn'] = true;
 $_SESSION['username'] = $hasil['username'];
 header('location:login.php');
 }
}
?>

Bisa kita lihat , kita membuat function antiinjection agar web kita tidak bisa di Bypass login nya.
function itu kita masukan di file login dan proses login dari web kita .

Sekian , mudah mudahan bermanfaat
Terima kasih

-Nobita

Leave a Reply

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *