Se protéger contre l'injection SQL

Se protéger contre l'injection SQL

Anthor
Hors ligne

Manitou

Messages : 1 399
Sujets : 5
Inscription : Dec 2007

#15

21-11-2008, 12:55 PM

Je répondais à l'exemple de Sephi, la vérification doit se faire avant l'envoi de la requête. Pas sur la requête.
Le typage seul ne suffit pas.

D'ailleurs il existe de très bon plugins pour tester tout ça
http://securitycompass.com/exploitme.shtml

Code PHP :
<?php 

$id = "0 OR 1 = 1";

'SELECT * FROM table WHERE id = ' . $id 

La suite est je suppose puisque on ne demande qu'un id :

Code PHP :
<?php 

$res = mysql_query($sql);

$data = mysql_fetch_assoc($res); 

Donc au final, que ton pirate demande un ligne précise ou toute, il ne recevra que la ligne précise ou la première ligne retournée.
Dans tout les cas ton exemple ne change rien au retour du mien ^^

Anthor | http://www.webgame-achievements.com/

Elite Dangerous - Trade Database | Elite Dangerous Star Map

« Sujet précédent | Sujet suivant »

Utilisateur(s) parcourant ce sujet : 3 visiteur(s)

Messages dans ce sujet

Se protéger contre l'injection SQL - par Kassak - 20-11-2008, 03:24 PM

Sujets apparemment similaires…
Sujet		Auteur	Réponses	Affichages	Dernier message
	[Securité] Comment se proteger contre les robots?	Argorate	9	5 446	04-05-2014, 02:43 AM Dernier message: Argorate
	protéger contre les XSS tout en concervant les html special char?	Argorate	7	5 070	04-05-2014, 02:42 AM Dernier message: Argorate
	sécurité blind injection sql	hercull	28	13 262	03-09-2013, 10:25 AM Dernier message: Xenos
	Le hashage peut-il entraîner une injection SQL ?	Ter Rowan	10	4 753	21-03-2010, 07:05 PM Dernier message: My Hotel
	SQL Inject Me - Module Firefox contre l'injection SQL	Kassak	7	4 392	06-02-2009, 05:27 PM Dernier message: Ruz

JeuWeb Créez votre jeu par navigateur !