14-12-2010, 09:30 AM
@globe : il existe des dictionnaires pour le md5 (le hash des mots "anglais" ou "français" ou des prénoms, ça fait déjà assez bien de possibilité, d'ou l'intéret d'avoir un mot de passe "fort" composé de MAJ/min, chiffres, caractères spéciaux, et ayant une certaine longueur), ou même le "grain de sel" (de préférence inconnu du visiteur) à ajouter a la fin du mot de passe, ce qui va mettre à mal ces dictinnaires
@blingcru2 : chaque base de donnée est indépendante sur un mutualisé, donc si une se fait pirater, c'est son problème "personnel"
Il ne faut pas confondre table et champs (partie d'une table). * sert à sélectionner tous les champs d'une table. "SHOW TABLES" va te montrer toutes les tables (juste le nom des tables, pas leur contenu)
Attention aussi a ne pas mettre de valeur définie par le visiteur dans l'include.
Très mauvais exemple :
tu pourrais appeler une page comme ceci : index.php?page=une_page_de_mon_site
ici ton index.php sur le répertoire /home/moi/www
Si tu as une page ta page de connection à la DB (avec tes mots de passes) sont dans un répertoire pas accessible par le public, on va dire par exemple : /home/moi/ma_db/mes_mots_de_passe.txt
il suffirait d'appeler ceci pour qu'on puisse voir tes mots de passe : index.php?page=../ma_db/mes_mots_de_passe.txt
je te laisse imaginer ce que donnerai un : printr($$_GET['test']); ou un eval($_GET['test']);
@blingcru2 : chaque base de donnée est indépendante sur un mutualisé, donc si une se fait pirater, c'est son problème "personnel"
Il ne faut pas confondre table et champs (partie d'une table). * sert à sélectionner tous les champs d'une table. "SHOW TABLES" va te montrer toutes les tables (juste le nom des tables, pas leur contenu)
Attention aussi a ne pas mettre de valeur définie par le visiteur dans l'include.
Très mauvais exemple :
tu pourrais appeler une page comme ceci : index.php?page=une_page_de_mon_site
ici ton index.php sur le répertoire /home/moi/www
include('header.php');
include($_GET['page']);
include('footer.php');
Si tu as une page ta page de connection à la DB (avec tes mots de passes) sont dans un répertoire pas accessible par le public, on va dire par exemple : /home/moi/ma_db/mes_mots_de_passe.txt
il suffirait d'appeler ceci pour qu'on puisse voir tes mots de passe : index.php?page=../ma_db/mes_mots_de_passe.txt
je te laisse imaginer ce que donnerai un : printr($$_GET['test']); ou un eval($_GET['test']);
Je signale que je ne détiens pas la vérité unique et absolue, je peux me tromper. La critique peut aussi être constructive. Critiquez moi!
La quête d'Ewilan
http://easy2hack.ma-soiree.be
La quête d'Ewilan
http://easy2hack.ma-soiree.be