Je lis svt qu'il faut vérifier l'intégrité des variables etc... Je suis
d'accord que c'est certainement le meilleur moyen.
Cependant, je ne vois pas comment il est possible de faire une injection
mysql si on applique addslashes sur les string et si on vérifie que les
entiers sont bien des numériques...
Si vous avez un exemmple d'injection avec ces 2 précautions, je ne
demande qu'à voir.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Steuf
Bonjour,
Bonjour
Cependant, je ne vois pas comment il est possible de faire une injection mysql si on applique addslashes sur les string et si on vérifie que les entiers sont bien des numériques...
Cela dépend de la configuration de votre server ( les magic_quotes ). Vous aurez ici ( http://www.nexen.net/docs/php/annotee/function.mysql-real-escape-string.php ) un exemple de fonction pour la protection.
Si vous avez un exemmple d'injection avec ces 2 précautions, je ne demande qu'à voir.
Voir le lien si dessus
-- Mon nouveau bébé : http://exinsidephp.free.fr
Bonjour,
Bonjour
Cependant, je ne vois pas comment il est possible de faire une injection
mysql si on applique addslashes sur les string et si on vérifie que les
entiers sont bien des numériques...
Cela dépend de la configuration de votre server ( les magic_quotes ).
Vous aurez ici (
http://www.nexen.net/docs/php/annotee/function.mysql-real-escape-string.php
) un exemple de fonction pour la protection.
Si vous avez un exemmple d'injection avec ces 2 précautions, je ne
demande qu'à voir.
Cependant, je ne vois pas comment il est possible de faire une injection mysql si on applique addslashes sur les string et si on vérifie que les entiers sont bien des numériques...
Cela dépend de la configuration de votre server ( les magic_quotes ). Vous aurez ici ( http://www.nexen.net/docs/php/annotee/function.mysql-real-escape-string.php ) un exemple de fonction pour la protection.
Si vous avez un exemmple d'injection avec ces 2 précautions, je ne demande qu'à voir.
Voir le lien si dessus
-- Mon nouveau bébé : http://exinsidephp.free.fr
news
Clark wrote:
Bonjour,
J'ai lu bcp de doc sur l'injection sql.
Ma problématique est relative à mysql.
Je lis svt qu'il faut vérifier l'intégrité des variables etc... Je suis d'accord que c'est certainement le meilleur moyen.
Cependant, je ne vois pas comment il est possible de faire une injection mysql si on applique addslashes sur les string et si on vérifie que les entiers sont bien des numériques...
Si vous avez un exemmple d'injection avec ces 2 précautions, je ne demande qu'à voir.
a ce propos, est-ce que quelqu'un connait safesql (http://www.phpinsider.com/php/code/SafeSQL/) ? Est-ce fiable (je veux dire: est-ce qu'il a des failles qui pourraient donner un faux sentiment de securite?) ?
Clark wrote:
Bonjour,
J'ai lu bcp de doc sur l'injection sql.
Ma problématique est relative à mysql.
Je lis svt qu'il faut vérifier l'intégrité des variables etc... Je suis
d'accord que c'est certainement le meilleur moyen.
Cependant, je ne vois pas comment il est possible de faire une injection
mysql si on applique addslashes sur les string et si on vérifie que les
entiers sont bien des numériques...
Si vous avez un exemmple d'injection avec ces 2 précautions, je ne
demande qu'à voir.
a ce propos, est-ce que quelqu'un connait safesql
(http://www.phpinsider.com/php/code/SafeSQL/) ?
Est-ce fiable (je veux dire: est-ce qu'il a des failles qui pourraient
donner un faux sentiment de securite?) ?
Je lis svt qu'il faut vérifier l'intégrité des variables etc... Je suis d'accord que c'est certainement le meilleur moyen.
Cependant, je ne vois pas comment il est possible de faire une injection mysql si on applique addslashes sur les string et si on vérifie que les entiers sont bien des numériques...
Si vous avez un exemmple d'injection avec ces 2 précautions, je ne demande qu'à voir.
a ce propos, est-ce que quelqu'un connait safesql (http://www.phpinsider.com/php/code/SafeSQL/) ? Est-ce fiable (je veux dire: est-ce qu'il a des failles qui pourraient donner un faux sentiment de securite?) ?
Patrick Mevzek
Cependant, je ne vois pas comment il est possible de faire une injection mysql si on applique addslashes sur les string
Tout seul cela ne sert à rien, car on peut très bien faire une injection SQL sans utiliser d'apostrophe.
Ca fait partie des plus grand mythes propagés par ceux qui n'ont pas compris le coeur du problème.
et si on vérifie que les entiers sont bien des numériques...
Tout dépend comment on fait la vérification. Un exemple: http://www.frsirt.com/bulletins/740
Si vous avez un exemmple d'injection avec ces 2 précautions, je ne demande qu'à voir.
L'exemple qui précède montre que addslashes n'aurait rien résolu.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Cependant, je ne vois pas comment il est possible de faire une injection
mysql si on applique addslashes sur les string
Tout seul cela ne sert à rien, car on peut très bien faire une injection
SQL sans utiliser d'apostrophe.
Ca fait partie des plus grand mythes propagés par ceux qui n'ont pas
compris le coeur du problème.
et si on vérifie que les
entiers sont bien des numériques...
Tout dépend comment on fait la vérification.
Un exemple:
http://www.frsirt.com/bulletins/740
Si vous avez un exemmple d'injection avec ces 2 précautions, je ne
demande qu'à voir.
L'exemple qui précède montre que addslashes n'aurait rien résolu.
--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
Cependant, je ne vois pas comment il est possible de faire une injection mysql si on applique addslashes sur les string
Tout seul cela ne sert à rien, car on peut très bien faire une injection SQL sans utiliser d'apostrophe.
Ca fait partie des plus grand mythes propagés par ceux qui n'ont pas compris le coeur du problème.
et si on vérifie que les entiers sont bien des numériques...
Tout dépend comment on fait la vérification. Un exemple: http://www.frsirt.com/bulletins/740
Si vous avez un exemmple d'injection avec ces 2 précautions, je ne demande qu'à voir.
L'exemple qui précède montre que addslashes n'aurait rien résolu.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> Dépêches sur le nommage <news://news.dotandco.net/dotandco.info.news>
