SQL Injection pada plugin Tweet Old Post

Sebuah lubang keamanan kembali ditemukan di dalam plugin Tweet Old Post versi 3.2.5 yang memungkinkan seseorang untuk melakukan SQL Injection dan tentu saja bisa mendapatkan data-data blog atau mengubah password admin blog anda hehehe…

Saya sendiri kurang begitu pengalaman soal SQL Injection jadi gak bisa jelasin bagaimana caranya. Cuma yang bisa saya share disini adalah bagaimana cara menutup lubang keamanan itu. Mudah aja kok. Buka file top-excludepost.php lalu carilah kode ini:

$sql = $sql . " and p.ID IN ( SELECT tr.object_id FROM ".$wpdb->prefix."term_relationships AS tr INNER JOIN ".$wpdb->prefix."term_taxonomy AS tt ON tr.term_taxonomy_id = tt.term_taxonomy_id WHERE tt.taxonomy = 'category' AND tt.term_id=" . $_POST["cat"] . ")";
$cat_filter = $_POST["cat"];

Kemudian ganti dengan kode ini:

$sql = $sql . " and p.ID IN ( SELECT tr.object_id FROM ".$wpdb->prefix."term_relationships AS tr INNER JOIN ".$wpdb->prefix."term_taxonomy AS tt ON tr.term_taxonomy_id = tt.term_taxonomy_id WHERE tt.taxonomy = 'category' AND tt.term_id=" . html_entities($_POST["cat"]) . ")";
$cat_filter = html_entities($_POST["cat"]);

Oke, mudah-mudahan bisa membantu. Sebagai catatan, baru saja plugin itu di hapus dari database WordPress hehehe.. Tapi yang sudah kadung memakainya tentunya tidak bisa menunggu patch-nya rilis. Segera tutup ya

Dicari dengan kata kunci:

sql injection,sql injection pada wordpress,cara sql injection wodpress,menutup sql injection,materi tentang sql injection,makalah tentang sql dan php,makalah tentang sql,cara sql injection wordpress,cara menutup/mengantisipasi celahnya,cara mengatasi html injection pada php