SQL Injection pada plugin Tweet Old Post

Sebuah lubang keamanan kembali ditemukan di dalam plugin Tweet Old Post versi 3.2.5 yang memungkinkan seseorang untuk melakukan SQL Injection dan tentu saja bisa mendapatkan data-data blog atau mengubah password admin blog anda hehehe…

Saya sendiri kurang begitu pengalaman soal SQL Injection jadi gak bisa jelasin bagaimana caranya. Cuma yang bisa saya share disini adalah bagaimana cara menutup lubang keamanan itu. Mudah aja kok. Buka file top-excludepost.php lalu carilah kode ini:

$sql = $sql . " and p.ID IN ( SELECT tr.object_id FROM ".$wpdb->prefix."term_relationships AS tr INNER JOIN ".$wpdb->prefix."term_taxonomy AS tt ON tr.term_taxonomy_id = tt.term_taxonomy_id WHERE tt.taxonomy = 'category' AND tt.term_id=" . $_POST["cat"] . ")";
$cat_filter = $_POST["cat"];

Kemudian ganti dengan kode ini:

$sql = $sql . " and p.ID IN ( SELECT tr.object_id FROM ".$wpdb->prefix."term_relationships AS tr INNER JOIN ".$wpdb->prefix."term_taxonomy AS tt ON tr.term_taxonomy_id = tt.term_taxonomy_id WHERE tt.taxonomy = 'category' AND tt.term_id=" . html_entities($_POST["cat"]) . ")";
$cat_filter = html_entities($_POST["cat"]);

Oke, mudah-mudahan bisa membantu. Sebagai catatan, baru saja plugin itu di hapus dari database WordPress hehehe.. Tapi yang sudah kadung memakainya tentunya tidak bisa menunggu patch-nya rilis. Segera tutup ya

Dicari dengan kata kunci:

sql injection,sql injection pada wordpress,cara sql injection wodpress,menutup sql injection,materi tentang sql injection,makalah tentang sql dan php,makalah tentang sql,cara sql injection wordpress,cara menutup/mengantisipasi celahnya,cara mengatasi html injection pada php

15 thoughts on “SQL Injection pada plugin Tweet Old Post

  1. EdwardSl

    akcajqtopnfwe, [URL=http://www.columbiandoors.co.uk]debt consolidation[/URL] , tdxvcvf

  2. Winstonka

    zzcjpqw, [URL=http://www.cityfarmer.co.uk]wooden garden benches uk[/URL] , ucyuurg

    rtjpvvm, [URL=http://www.atexledlighting.co.uk]E111 travel insurance[/URL] , reprzfk
    1

  3. Stevenlax

    ytmnuqx, [URL=http://www.columbiandoors.co.uk]debt consolidation loans[/URL] , imhendx

  4. Nooglelax

    bprpobzieby, [URL=http://www.no-tomatoes.co.uk]consolidation debt[/URL] , fnqkvbjmtqf

  5. Pauler

    inpvqkdabtuhm, [URL=http://www.cityfarmer.co.uk]garden benches[/URL] , cbqirqn

    xzxbrng, [URL=http://www.atexledlighting.co.uk]e111 insurance[/URL] , uczmebmjwjznk
    czxwcch, [URL=http://www.turbodemo.co.uk]outdoor sheds[/URL] , mqoewfr

  6. Georgerova

    tdliqvg, [URL=http://www.columbiandoors.co.uk]consolidation[/URL] , bugxcqedplb
    rqjznpqhfba, [URL=http://www.no-tomatoes.co.uk]debt management companies[/URL] , zkixzmh

  7. Johnjoer

    kckzlza, [URL=http://www.cityfarmer.co.uk]garden bench stone[/URL] , gpffrcpegqgej
    lrrzbwl, [URL=http://www.atexledlighting.co.uk]E11[/URL] , ctnqwip
    oocehwllppphk, [URL=http://www.turbodemo.co.uk]garden buildings online[/URL] , fihecwpgkwypm

Comments are closed.