SQL Injection
Login form yang menyusun query SQL dengan string concatenation. Perhatikan query yang dihasilkan saat kamu mengetik.
Login ke Sistem
Query yang Dihasilkan
SELECT * FROM users WHERE username = '' AND password = ''
Kerentanan: SQL Injection — Input disambung langsung ke query tanpa parameterized statement. Dengan Burp Suite, intercept dan coba payload di kolom username (password bisa dikosongkan atau isi apapun):
' OR '1'='1 Klasik bypass
admin' -- Komentar bypass
' UNION SELECT ... Data exfiltration
' OR 1=1 LIMIT... Paginated dump