Accueil > Forum > > > > injection mysql
 injection mysql
vendredi 25 janvier 2008 à 14:16:56 |
injection mysql
sidf
|
salut à tous question de débutant, existe t il d'autres types d'injections genre ' or '1' = '1 pour les acces login mot de passe ou un lien qui les répertorie
Merci d'avance |
|
vendredi 25 janvier 2008 à 17:07:22 |
Re : injection mysql
Evangun
|
Hello,
non, à part les apostrophes, pas d'autres possibilités d'injection à proprement parler (à ma connaissance!).
|
|
vendredi 25 janvier 2008 à 20:15:44 |
Re : injection mysql
coucou747
|
Réponse acceptée !
salut evangun :) prennons par exemple $a=mysql_query('select champ1, champ2 FROM table where id='.$_GET['id']); on voit dans l'url : index.php?id=5 on met dans l'url : index.php?id=5 UNION SELECT login, password FROM users WHERE admin=1 ORDER BY champ1 DESC en jouant sur le DESC ou ASC, sur les limit, on peut scanner parfois toute une base /**
* @author coucou747 <coucou747@hotmail.com>
* @see irc://cominweb.uni-irc.net/#programmation
*/
|
|
vendredi 25 janvier 2008 à 21:13:35 |
Re : injection mysql
Evangun
|
Réponse acceptée !
Bien vu Coucou :)
Mais le plus simple reste d'encadrer toutes les valeurs fournies par l'utilisateur par des apostrophes, même les nombres, et de les échapper sytématiquement, et là je pense qu'il n'y a pas de faille.
$a = mysql_query('select champ1, champ2 FROM table where id = \''.mysql_real_escape_string($_GET['id']).'\');
Malalam dirait de passer à PDO, mais perso j'ai trouvé les perfs trop mauvaises, je suis revenu aux requêtes directes...
|
|
samedi 26 janvier 2008 à 10:55:15 |
Re : injection mysql
sidf
|
OK
merci à tous pour ces précisions
|
|
samedi 26 janvier 2008 à 11:00:35 |
Re : injection mysql
coucou747
|
fait reponse acceptee stp /**
* @author coucou747 <coucou747@hotmail.com>
* @see irc://cominweb.uni-irc.net/#programmation
*/
|
|
dimanche 27 janvier 2008 à 21:26:35 |
Re : injection mysql
codefalse
|
@sidf : J'ai pris la réponse de Evangun comme étant valide (donc "Réponse acceptée") car il donnait l'exemple le plus concret pour ta réponse : mysql_real_escape_string. Mais la remarque de Coucou747 est très pertinente, tous ce qui passe par l'utilisateur est à prendre avec des pincettes, il ne faut jamais lui faire confiance.
Comme dit le bon vieux proverbe, "le bug le plus connus, c'est l'utilisateur".
@Evangun : Le paradoxe avec les groupements de classes type PDO, Framework (CakePhp, Symfony, Zend), c'est que pour faire un truc tout con, il faut inclure 20 fichiers. C'est utile (et protecteur), mais plus gourmant en ressource. Comme toujours, ca va dépendre du type de travail à effectuer ! :)
|
|
dimanche 27 janvier 2008 à 21:34:28 |
Re : injection mysql
coucou747
|
ca fait toujours plaisir... j'aurais jamais du faire une reponse complete... /**
* @author coucou747 <coucou747@hotmail.com>
* @see irc://cominweb.uni-irc.net/#programmation
*/
|
|
dimanche 27 janvier 2008 à 21:43:56 |
Re : injection mysql
codefalse
|
J'ai pris le choix d'Evangun tout simplement car il à indiqué la méthode mysql_real_escape_string, qui permet d'éviter d'énormes problemes de Sql injection. Maintenant, on peux toujours passer au travers, comme le montre ton exemple.
Par ailleur, j'ai bien précisé que ta réponse méritait aussi son pesan d'or.
T'inquiete Coucou747, on es pas noté par rapport au nombre de "bonnes réponses" :p, tes remarques et tes sources prouvent que tes compétences n'ont pas besoin d'être remises en causes, encore moin au niveau Sql ! :p
|
|
Cette discussion est classée dans : mysql, injection
 Répondre à ce message
 Sujets en rapport avec ce message
injection mysql [ par bob ]
salut tout le monde, j'ai derniérement entendu parler d'injection mysql et j'aimerai savoir quelles sont les techniques pour contrer ça ? quelles préc
re incrementation [ par nicofree ]
salut a tous, je me premet de reposer ma question car je suis vachement emmerder par ce probleme :je voudrai associer un numero de reference (dans une
php/mysql et album photo sécurisé [ par pumbaa ]
Salut!! J’ai crée un album d’image avec php/MySQL. Les images ce trouvent
actualiser une page php sur l'evenement onclick d'un bouton [ par kprime17 ]
Salut,je suis debutant en php et j'ai un petit probleme :j'ai une liste remplie par une requete mysql et des boutons afin d'ajouter, modifier, supprim
Supprimmer dans base de donnée - Comment faire ? [ par Also know as ]
Bonjour,voilà, j'ai crée un site tout con pour m'entrainer et je ne comprend comment faire pour supprimmer une/des données dans la base de donnée.Je s
passage parametres php [ par Puec ]
Bonjour, Je débute en php, et je rencontre un problème.J'ai un formulaire qui contient 2 listes déroulantes contenant dont chacun des items provient d
afficher résultats requête SQL dans un tableau [ par titsuisse ]
Bonjour,Tout d'abord, je suis débutant donc j'ai un peu de peine avec php. Voilà, j'ai une base SQL qui comporte plusieurs tables. J'ai une page (test
envoyer des données récupérer dans une autre page php [ par titsuisse ]
Bonjour,Je suis débutant en php et je suis coincé. Voilà mon problème. Je veux faire un site de petites annonces. J'ai plusieurs tables. J'ai une page
format Date mysql j'en peut plus :( help [ par benjy54 ]
Salut à tous, je débute vraiment en php, excusez moi pour mon vocabulaire non initié !je voudrais saisir la date en français dans mon formulaire pour
format Date mysql j'en peut plus :( help [ par benjy54 ]
Salut à tous, je débute vraiment en php, excusez moi pour mon vocabulaire non initié !je voudrais saisir la date en français dans mon formulaire pour
 Livres en rapport
|
Derniers Blogs
 POUR RAPPEL ! LES SPéCIFICATIONS DES PROTOCOLES OFFICE ET SHAREPOINT SONT DISPONIBLES SUR MSDNPOUR RAPPEL ! LES SPéCIFICATIONS DES PROTOCOLES OFFICE ET SHAREPOINT SONT DISPONIBLES SUR MSDN par neodante
Quelle est le point commun entre : Microsoft il y a 10 ans et Apple aujourd'hui ? Réponse: avoir une politique de protocoles propriétaires et fermés :) Car pour rappel (si si je vous assure c'est important de le rappeler), la majorité des spécifications e...
Cliquez pour lire la suite de l'article par neodante JOYEUX ANNIVERSAIRE NIXJOYEUX ANNIVERSAIRE NIX par ebartsoft
Souhaitons un bon et joyeux anniversaire à notre hôte à tous, Nix.
Je ne le répéterais jamais assez mais sans lui rien ne serait possible. Il défit en permanence les lois de la gravité et comme il le dit si bien, si tu lui fais confiance ça devra...
Cliquez pour lire la suite de l'article par ebartsoft IMAGINE CUP 2012, MAKE A SIGN EN FINALEIMAGINE CUP 2012, MAKE A SIGN EN FINALE par junarnoalg
Voilà qui est fait, la nouvelle est officielle ! L'équipe belge "Make a Sign" va au pays des kangourous défendre son projet dans la catégorie Software Design. http://www.imaginecup.com/CompetitionsContent/Competition/WorldwideFinalists.aspx V...
Cliquez pour lire la suite de l'article par junarnoalg KINECT 1.5 IS OUT !KINECT 1.5 IS OUT ! par Vko
La version 1.5 du Kinect For Microsoft vient tout juste de sortir ! Plein de nouveautés: Tracking de squelette en Near Mode Détection en position assise Détection faciale avec un SDK dédié Documentation et des guideline (enfin) Un out...
Cliquez pour lire la suite de l'article par Vko LES ACTUALITéS DE LA SEMAINE SUR C2I.FR (14 MAI - 20 MAI) LES ACTUALITéS DE LA SEMAINE SUR C2I.FR (14 MAI - 20 MAI) par richardc
Mise à jour des Web API du 14 Mai
Réservez dès maintenant votre journée du 20 juin pour le Windows Azure Dev Camp 2012 à Paris
Mise à jour de Team Foundation Service
MechCommander 2 sur Windows 8
Entity Framework 5 Release Candidate e...
Cliquez pour lire la suite de l'article par richardc
Logiciels
 sDEVIS-FACTURES vlPRO (8.1.0.3)SDEVIS-FACTURES VLPRO (8.1.0.3)sDEVIS-FACTURES vlPRO a été mis au point pour les particuliers, créateurs, entrepreneurs, artisa... Cliquez pour télécharger sDEVIS-FACTURES vlPRO 974 Application Server (12.2.4.6)974 APPLICATION SERVER (12.2.4.6)Développez de puissantes applications dans un environnement de 'cloud computing', clusterisé, séc... Cliquez pour télécharger 974 Application Server vPicture (1.4.2.1)VPICTURE (1.4.2.1)Avec vPicture, hébergez vos images facilement et rapidement.
vPicture est un utilitaire simple, ... Cliquez pour télécharger vPicture Easy-Planning (2.2.1.6)EASY-PLANNING (2.2.1.6)Easy-Planning permet de créer des plannings sous la représentation de diagrammes et est adapté au... Cliquez pour télécharger Easy-Planning COM-BACKUP (2.0)COM-BACKUP (2.0)
COM-BACKUP est un logiciel de sauvegarde qui permet de planifier les sauvegardes de vos dossiers ...
Cliquez pour télécharger COM-BACKUP
|