Non. Vous n'avez pas compris le problème des injections SQL. Répéter à
tue-tête une fausse solution ne va rien y changer...
Et bien expliquez nous donc quelles sont vos brillantes solutions.
Déjà fait, mais quand on ne veut pas voir, on ne veut pas...
Qui a dis qu'il suffisait de mettre un backslash devant les ' pour se
prémunir des injections SQL ?
Parce que mysql_real_escape_string dont vous parlez dans
<429c8c3c$0$16624$
ca fait quoi peut-être ?
Non. Vous n'avez pas compris le problème des injections SQL. Répéter à
tue-tête une fausse solution ne va rien y changer...
Et bien expliquez nous donc quelles sont vos brillantes solutions.
Déjà fait, mais quand on ne veut pas voir, on ne veut pas...
Qui a dis qu'il suffisait de mettre un backslash devant les ' pour se
prémunir des injections SQL ?
Parce que mysql_real_escape_string dont vous parlez dans
<429c8c3c$0$16624$626a14ce@news.free.fr>
ca fait quoi peut-être ?
Non. Vous n'avez pas compris le problème des injections SQL. Répéter à
tue-tête une fausse solution ne va rien y changer...
Et bien expliquez nous donc quelles sont vos brillantes solutions.
Déjà fait, mais quand on ne veut pas voir, on ne veut pas...
Qui a dis qu'il suffisait de mettre un backslash devant les ' pour se
prémunir des injections SQL ?
Parce que mysql_real_escape_string dont vous parlez dans
<429c8c3c$0$16624$
ca fait quoi peut-être ?
J'ai beau relire vos posts dans ce fil, je ne voit rien qui ressemble à
un début de proposition, je ne vois que des critiques de tout ce qui est
proposé, mais je dois être complètement aveugle.
Qui a dis qu'il suffisait de mettre un backslash devant les ' pour se
prémunir des injections SQL ?
Parce que mysql_real_escape_string dont vous parlez dans
<429c8c3c$0$16624$ ca fait quoi peut-être ?
C'est bien que vous citiez ce message puisque justement je montre qu'il
ne suffit pas de faire un mysql_real_escape_string, on voit bien ( enfin
moi et d'autres personnes j'espère ) qu'il y a *en plus* des *quotes
autour*.
Je vous met au défit de réaliser une injection SQL avec cette
méthode.
Que cette méthode ne vous plaise pas est une autre chose, il y a
d'autres méthodes pour 'blanchir' une variable ( la rendre inoffesive
).
J'ai beau relire vos posts dans ce fil, je ne voit rien qui ressemble à
un début de proposition, je ne vois que des critiques de tout ce qui est
proposé, mais je dois être complètement aveugle.
Qui a dis qu'il suffisait de mettre un backslash devant les ' pour se
prémunir des injections SQL ?
Parce que mysql_real_escape_string dont vous parlez dans
<429c8c3c$0$16624$626a14ce@news.free.fr> ca fait quoi peut-être ?
C'est bien que vous citiez ce message puisque justement je montre qu'il
ne suffit pas de faire un mysql_real_escape_string, on voit bien ( enfin
moi et d'autres personnes j'espère ) qu'il y a *en plus* des *quotes
autour*.
Je vous met au défit de réaliser une injection SQL avec cette
méthode.
Que cette méthode ne vous plaise pas est une autre chose, il y a
d'autres méthodes pour 'blanchir' une variable ( la rendre inoffesive
).
J'ai beau relire vos posts dans ce fil, je ne voit rien qui ressemble à
un début de proposition, je ne vois que des critiques de tout ce qui est
proposé, mais je dois être complètement aveugle.
Qui a dis qu'il suffisait de mettre un backslash devant les ' pour se
prémunir des injections SQL ?
Parce que mysql_real_escape_string dont vous parlez dans
<429c8c3c$0$16624$ ca fait quoi peut-être ?
C'est bien que vous citiez ce message puisque justement je montre qu'il
ne suffit pas de faire un mysql_real_escape_string, on voit bien ( enfin
moi et d'autres personnes j'espère ) qu'il y a *en plus* des *quotes
autour*.
Je vous met au défit de réaliser une injection SQL avec cette
méthode.
Que cette méthode ne vous plaise pas est une autre chose, il y a
d'autres méthodes pour 'blanchir' une variable ( la rendre inoffesive
).
D'autre part regardez autour de vous: on n'utilise les ' dans les
requêtes SQL que pour les chaines de caractère.
car le problème
du contenu des variables peut se reposer ailleurs dans le programme
(indépendamment des requêtes SQL), et que donc selon moi il est bien plus
intéressant et utile en termes de sécurité de passer du temps sur le
contenu des variables (et en particulier vérifier leur format), que de
bidouiller des requêtes SQL,
surtout si c'est pour les rendre non
portables
(alors que l'un des problèmes majeurs des applications Web c'est d'être
portables d'un SGBDR à un autre)
Je vous met au défit de réaliser une injection SQL avec cette
méthode.
Vous payez bien ?
Je vous donne un conseil gratuit: lisez la documentation, et vous verrez
que % n'est pas protégé, par exemple.
Donc:
"SELECT * FROM annuaire WHERE name LIKE '".mysql_real_escape_string($id)."'"
avec $id='%', et pouf vous récupérez tout...
D'autre part regardez autour de vous: on n'utilise les ' dans les
requêtes SQL que pour les chaines de caractère.
car le problème
du contenu des variables peut se reposer ailleurs dans le programme
(indépendamment des requêtes SQL), et que donc selon moi il est bien plus
intéressant et utile en termes de sécurité de passer du temps sur le
contenu des variables (et en particulier vérifier leur format), que de
bidouiller des requêtes SQL,
surtout si c'est pour les rendre non
portables
(alors que l'un des problèmes majeurs des applications Web c'est d'être
portables d'un SGBDR à un autre)
Je vous met au défit de réaliser une injection SQL avec cette
méthode.
Vous payez bien ?
Je vous donne un conseil gratuit: lisez la documentation, et vous verrez
que % n'est pas protégé, par exemple.
Donc:
"SELECT * FROM annuaire WHERE name LIKE '".mysql_real_escape_string($id)."'"
avec $id='%', et pouf vous récupérez tout...
D'autre part regardez autour de vous: on n'utilise les ' dans les
requêtes SQL que pour les chaines de caractère.
car le problème
du contenu des variables peut se reposer ailleurs dans le programme
(indépendamment des requêtes SQL), et que donc selon moi il est bien plus
intéressant et utile en termes de sécurité de passer du temps sur le
contenu des variables (et en particulier vérifier leur format), que de
bidouiller des requêtes SQL,
surtout si c'est pour les rendre non
portables
(alors que l'un des problèmes majeurs des applications Web c'est d'être
portables d'un SGBDR à un autre)
Je vous met au défit de réaliser une injection SQL avec cette
méthode.
Vous payez bien ?
Je vous donne un conseil gratuit: lisez la documentation, et vous verrez
que % n'est pas protégé, par exemple.
Donc:
"SELECT * FROM annuaire WHERE name LIKE '".mysql_real_escape_string($id)."'"
avec $id='%', et pouf vous récupérez tout...
car le problème
du contenu des variables peut se reposer ailleurs dans le programme
(indépendamment des requêtes SQL), et que donc selon moi il est bien
plus intéressant et utile en termes de sécurité de passer du temps sur
le contenu des variables (et en particulier vérifier leur format), que
de bidouiller des requêtes SQL,
On sort donc largement du cadre des injections SQL qui étaient quand
même le fond du débat.
surtout si c'est pour les rendre non
portables
(alors que l'un des problèmes majeurs des applications Web c'est
d'être portables d'un SGBDR à un autre)
Etre portable à condition que l'application doivent être distribuée à
grande échelle.
Je vous met au défit de réaliser une injection SQL avec cette méthode.
Vous payez bien ?
Je vous donne un conseil gratuit: lisez la documentation, et vous
verrez que % n'est pas protégé, par exemple. Donc: "SELECT * FROM
annuaire WHERE name LIKE '".mysql_real_escape_string($id)."'" avec
$id='%', et pouf vous récupérez tout...
Et bien forcément, si vous changez les données du problème, c'est tout
de suite plus facile.
Il ne faudrait peut être pas voir des failles de sécurité ou il n'y en a
pas.
Vous me faites pensez à une personne avec qui j'ai travaillé qui clamait
haut et fort que de faire apparaitre une adresse IP était une faille de
sécurité.
car le problème
du contenu des variables peut se reposer ailleurs dans le programme
(indépendamment des requêtes SQL), et que donc selon moi il est bien
plus intéressant et utile en termes de sécurité de passer du temps sur
le contenu des variables (et en particulier vérifier leur format), que
de bidouiller des requêtes SQL,
On sort donc largement du cadre des injections SQL qui étaient quand
même le fond du débat.
surtout si c'est pour les rendre non
portables
(alors que l'un des problèmes majeurs des applications Web c'est
d'être portables d'un SGBDR à un autre)
Etre portable à condition que l'application doivent être distribuée à
grande échelle.
Je vous met au défit de réaliser une injection SQL avec cette méthode.
Vous payez bien ?
Je vous donne un conseil gratuit: lisez la documentation, et vous
verrez que % n'est pas protégé, par exemple. Donc: "SELECT * FROM
annuaire WHERE name LIKE '".mysql_real_escape_string($id)."'" avec
$id='%', et pouf vous récupérez tout...
Et bien forcément, si vous changez les données du problème, c'est tout
de suite plus facile.
Il ne faudrait peut être pas voir des failles de sécurité ou il n'y en a
pas.
Vous me faites pensez à une personne avec qui j'ai travaillé qui clamait
haut et fort que de faire apparaitre une adresse IP était une faille de
sécurité.
car le problème
du contenu des variables peut se reposer ailleurs dans le programme
(indépendamment des requêtes SQL), et que donc selon moi il est bien
plus intéressant et utile en termes de sécurité de passer du temps sur
le contenu des variables (et en particulier vérifier leur format), que
de bidouiller des requêtes SQL,
On sort donc largement du cadre des injections SQL qui étaient quand
même le fond du débat.
surtout si c'est pour les rendre non
portables
(alors que l'un des problèmes majeurs des applications Web c'est
d'être portables d'un SGBDR à un autre)
Etre portable à condition que l'application doivent être distribuée à
grande échelle.
Je vous met au défit de réaliser une injection SQL avec cette méthode.
Vous payez bien ?
Je vous donne un conseil gratuit: lisez la documentation, et vous
verrez que % n'est pas protégé, par exemple. Donc: "SELECT * FROM
annuaire WHERE name LIKE '".mysql_real_escape_string($id)."'" avec
$id='%', et pouf vous récupérez tout...
Et bien forcément, si vous changez les données du problème, c'est tout
de suite plus facile.
Il ne faudrait peut être pas voir des failles de sécurité ou il n'y en a
pas.
Vous me faites pensez à une personne avec qui j'ai travaillé qui clamait
haut et fort que de faire apparaitre une adresse IP était une faille de
sécurité.
Le fond du débat c'est la sécurité. Et propager l'idée que addslashes,
mysql_truc et compagnie c'est la seule chose que l'on ait besoin de faire
pour régler le problème des injections SQL, cela fait partie des choses
dont il faudrait une fois pour toute tordre le cou.
C'est bien ce que je disais: à chaque fois qu'on présente un exemple,
vous faites mine de ne pas le voir.
Comment voulez-vous qu'on trouve après un intérêt à faire un effort ?
Ca m'apprendra en tout cas.
Le fond du débat c'est la sécurité. Et propager l'idée que addslashes,
mysql_truc et compagnie c'est la seule chose que l'on ait besoin de faire
pour régler le problème des injections SQL, cela fait partie des choses
dont il faudrait une fois pour toute tordre le cou.
C'est bien ce que je disais: à chaque fois qu'on présente un exemple,
vous faites mine de ne pas le voir.
Comment voulez-vous qu'on trouve après un intérêt à faire un effort ?
Ca m'apprendra en tout cas.
Le fond du débat c'est la sécurité. Et propager l'idée que addslashes,
mysql_truc et compagnie c'est la seule chose que l'on ait besoin de faire
pour régler le problème des injections SQL, cela fait partie des choses
dont il faudrait une fois pour toute tordre le cou.
C'est bien ce que je disais: à chaque fois qu'on présente un exemple,
vous faites mine de ne pas le voir.
Comment voulez-vous qu'on trouve après un intérêt à faire un effort ?
Ca m'apprendra en tout cas.
Je vais répondre une dernière fois
car vous ne cessez de déformer mes propos.
Je vous ai lancé un défit que vous n'avez pas voulu ( su ? ) relever.
C'est bien ce que je disais: à chaque fois qu'on présente un exemple,
vous faites mine de ne pas le voir.
Le problème est que votre exemple ne présente strictement aucune faille
Si vous présentiez un exemple qui a effectivement une faille, ce serait
plus intéressant quand même vous ne croyez pas ?
Au fait, personne ne vous demande de faire des efforts et surtout pas
moi.
Ce serait juste bien de faire progresser un peu le débat.
Je vais répondre une dernière fois
car vous ne cessez de déformer mes propos.
Je vous ai lancé un défit que vous n'avez pas voulu ( su ? ) relever.
C'est bien ce que je disais: à chaque fois qu'on présente un exemple,
vous faites mine de ne pas le voir.
Le problème est que votre exemple ne présente strictement aucune faille
Si vous présentiez un exemple qui a effectivement une faille, ce serait
plus intéressant quand même vous ne croyez pas ?
Au fait, personne ne vous demande de faire des efforts et surtout pas
moi.
Ce serait juste bien de faire progresser un peu le débat.
Je vais répondre une dernière fois
car vous ne cessez de déformer mes propos.
Je vous ai lancé un défit que vous n'avez pas voulu ( su ? ) relever.
C'est bien ce que je disais: à chaque fois qu'on présente un exemple,
vous faites mine de ne pas le voir.
Le problème est que votre exemple ne présente strictement aucune faille
Si vous présentiez un exemple qui a effectivement une faille, ce serait
plus intéressant quand même vous ne croyez pas ?
Au fait, personne ne vous demande de faire des efforts et surtout pas
moi.
Ce serait juste bien de faire progresser un peu le débat.