06-01-2011, 12:22 PM
salut à tous
j'ai soudainement un gros doute sur le fonctionnement des injections SQL, notament sur la panoplie de caractères utilisés pour ce faire:
pour réaliser un injection il n'y a que les caractères ' et " qui sont potentiellement utilisables non ? c'est à dire les caractères de fin de chaines...
ou y a t il d'autre caractères pouvait servir à une injection ?
je dis ca car j'ai un doute en lisant ceci:
échapper les guillemets simples et double, ok je comprends mais pourquoi échapper NULL ou \x00 par exemple ?
bonne journée à tous.
j'ai soudainement un gros doute sur le fonctionnement des injections SQL, notament sur la panoplie de caractères utilisés pour ce faire:
pour réaliser un injection il n'y a que les caractères ' et " qui sont potentiellement utilisables non ? c'est à dire les caractères de fin de chaines...
ou y a t il d'autre caractères pouvait servir à une injection ?
je dis ca car j'ai un doute en lisant ceci:
http://fr2.php.net/mysql_real_escape_string a écrit :mysql_real_escape_string() appelle la fonction mysql_escape_string() de la bibliothèque MySQL qui ajoute un slash aux caractères suivants : NULL, \x00, \n, \r, \, ', " et \x1a.
échapper les guillemets simples et double, ok je comprends mais pourquoi échapper NULL ou \x00 par exemple ?
bonne journée à tous.