Memahami Penggunaan mysql escape string dan htmlentities


Memahami Penggunaan mysql escape string dan htmlentities

Pada dasarnya baik itu fungsi mysql_escape_string maupun htmlentities sama – sama merupakan fungsi untuk melakukan filter pada data. mysql escape string digunakan supaya ketika ada string yang di inputkan pada data tidak dijadikan/dieksekusi sebagai sebuah perintah query sedangkan htmlentities digunakan supaya jika ada tag html yang diinputkan pada data tidak dieksekusi sebagai perintah html dan menampilkan data secara apa adanya.

Baca juga : Memahami Penggunaan mysqli_real_escape_string


menambahkan string ke form input


Contoh Penggunaan mysql_escape_string


Supaya lebih jelas lagi, kita perlu melakukan uji coba untuk melihat perbedaan antara data yang dinputkan menggunakan filter atau tanpa filter. Jadi misalkan disini saya memiliki sebuah form untuk edit dan update data, misalnya form dibawah ini tidak di filter, dan kemudian saya sisipkan sebuah string ‘saat saya akan mencoba untuk mengupdate datanya


Form diatas akan mengirimkan datanya dan melakukan query untuk menyimpan/update data ke database, kurang lebih prosessnya nanti data akan di proses menggunakan $_POST[‘nama_data’]; atau dijadikan varibael $data=$_POST[‘nama_data’]; yang selanjutnya variabel tersebut akan dieksekusi menggunakan query yang ada.

Jika variabel yang dikirim menggunakan $_POST diatas mengandung string dan dikirim tanpa difilter, maka akan membuat data tidak tersimpan atau bahkan yang lebih buruk lagi adalah kita bisa melakukan perintah query – query tertentu atau istilah kerennya disebut sebagai SQL Injection.

Pada contoh diatas, ketika data yang mengandung string tersebut disimpan, maka yang terjadi adalah error seperti berikut :

data yang tidak di filter


Dalam beberapa contoh kasus, seseorang yang ingin melakukan pengetesan terhadap sebuah aplikasi yang dibangun menggunakan PHP MySQL bisa melakukan kegiatan pengetesan untuk celah SQL Injection hanya cukup dengan menambahkan parameter string untuk mengecek apakah data difilter atau tidak, mungkin akan ada banyak teknik pengetesan ataupun juga cara mengamankannya seperti menggunakan mysqli prepare. Namun dalam contoh ini saya hanya ingin menjelaskan tentang penggunaan mysql escape string untuk meminimilisir terjadinya kesalahan seperti diatas.

Untuk cara penggunaannya, Anda hanya cukup menambahkan perintah mysql_escape_string pada varibel yang berisi $_POST.

Contoh : $data=mysql_escape_string($_POST[‘nama_data’]);



Contoh Penggunaan htmlentities

htmlentities digunakan untuk mencegah adanya usaha untuk melakukan inject terhadap data dengan menyisipkan tag – tag html kedalam data, sehingga pada saat disimpan lalu ditampilkan, maka tag html akan ikut dieksekusi.

Misalnya saya memiliki sebuah formulir untuk mengisi data, kemudian dengan sengaja saya menyelipkan tag html kedalamnya misal menggunakan tag <h1> , maka nanti ketika data disimpan lalu ditampilkan, data tersebut (tag h1) akan ikut dieksekusi sebagai perintah HTML. Contohnya seperti berikut

contoh penggunaan htmlentities


Untuk mengatasi masalah tersebut, Anda dapat menyisipkan perintah pada variabel POST sehingga nanti tag html tersebut tidak akan ikut di eksekusi pada saat disimpan ataupun ditampilkan

Contoh : $data=htmlentities($_POST[‘nama_data’]);

Jadi nanti misalkan Anda mencoba memasukan tag html lalu menyimpannya ke database, tag html yang dimasukan akan di parse terlebih dahulu menggunakan fungsi tersebut sebelum disimpan ke database, bila Anda melihat data yang disisipi oleh tag html tersebut dari database maka akan terlihat bahwa data yang disimpan seperti terparse, seperti yang bisa Anda lihat pada gambar dibawah ini

data yang telah difilter menggunakan htmlentities



Menggabungkan mysql_escape_string dan htmlentities
Supaya terhindar dari serangan SQL injection, juga terhindar dari serang HTML injection, maka Anda dapat menggabungkan kedua perintah diatas.

Contoh : $data=mysql_escape_string(htmlentities($_POST[‘nama_data’]));

Jadi sampai disini mungkin Anda sudah paham tentang penggunaan ataupun perbedaan antara mysql_escape_string dan htmlentities

Penggabungan seperti diatas sebenarnya tidak diperlukan,  dalam sebuah form input Anda bisa cukup menggunakan fungsi mysql_escape_string saja. Karena ada beberapa teman berpendapat bahwasanya untuk htmlentities lebih digunakan untuk memfilter data ketika akan ditampilkan bukan ketika akan disimpan

Untuk lebih jelasnya bisa dibaca di manual PHP nya atau disitus resmi PHP. Supaya tidak keliru saat menerapkan atau mengimplemntasikan fungsinya pada Aplikasi yang Anda buat

Kesimpulan :
  1.  mysql_escape_string digunakan untuk memfilter data yang mengandung unsur string supaya saat dieksekusi (query) tidak terjadi error atau terjadinya serangan SQL Injection
  2. htmlentities digunakan juga untuk memfilter data, tujuannya supaya jika ada orang yang menyisipkan tag html pada saat menyimpan data, maka tag HTML tersebut tidak akan dieksekusi atau ditampilkan sebagai perintah html.
  3. Menurut beberapa teman sebenarnya Praktik terbaik dalam menggunakan fungsi htmlentities adalah bukan difilter langsung saat dikirim seperti cara diatas, melainkan di filter saat ditampilkan. Jadi data tidak diparse di database, melainkan di parse ketika data ditampilkan.
Video Memahami Penggunaan mysql escape string dan htmlentities


Catatan * Praktik terbaik dalam menggunakan fungsi htmlentities adalah bukan difilter langsung saat dikirim seperti cara diatas, melainkan di filter saat ditampilkan. Jadi data tidak diparse di database, melainkan di parse ketika data ditampilkan

1 Response to "Memahami Penggunaan mysql escape string dan htmlentities"

  1. Memang belajar tentang mysql itu bagusnya terus dipraktekan ya, Kang.
    Postingan di blog Kang Ahmad ini selalu mengingatkan disaat lupa :)

    ReplyDelete

Komentar yang Anda kirim akan terlebih dahulu di moderasi oleh Admin