probleme SQL dans java (injection ?)Résolu

Question

hello,

J'ai fais un petit formulaire tout con en java.
On tape un mot et il retourne les resultats via un 
SELECT * FROM matableWHERE nom LIKE '" + monnom + "' ORDER BY ID"

Bref tout fonctionne...

SAUF que lorsque je tape % ou %qqchose, ca me retourne tout les resultats.
J'ai donc peur qu'il soit possible de faire de l'injection SQL

C'est pourquoi je voulais savoir si il existait en java une solution pour parer &#224; cela, c'est a dire, faire passer la requete par un filtre ou je ne sais quoi....

Merci de votre aide

Manu

shaiulud · Accepted Answer

pour la requete que tu utilises, l'injection n'est pas r&#233;ellemnt un risque.

par contre, &#231;a le serait si elle servait &#224; l'authentification.
soit une requete du genre :
"select nom, prenom where login='"+ leLogin +"' and passe='"+ lePass+"'"

l'injection consiterai &#224; mettre comme mot de passe dans le formulaire : '%20OR%20'1'='1  
ce qui donne la requete :
select nom, prenom where login='toto' and passe='' OR '1'='1'
qui est toujour vraie

pour se faire, il faut donc utilise les Prepare Statements:

String laRequete="select nom, prenom where login=? and passe=?";
Connection con = null;
PreparedStatement ps = null;
ResultSet rs = null;
try {
    con = this.getConnection();
    ps = con.prepareStatement(laRequete);
    ps.setString(1, leLogin);
    ps.setString(2, lePasse);
    rs = ps.executeQuery();


    // Constitution du resultset
    if (rs.next()) {
      String lenom = rs.getString("nom");
    }
    
    } catch (SQLException se) {
      logger.error(se.getMessage(), se);
      
    } finally {
          try {
              rs.close();
              ps.close();
              con.close();
          }
          catch (Exception ex) {
              logger.error(ex.getMessage(), ex);
          }
    }

capoueidiablo · Answer

Et si au moment de l'envoi de ton formulaire tu faisais un 



MaRecherche.replace('%', '') histoire de virer le caract&#232;re magique de SQL ...



Enfin s'que j'en dis ...
--Capoueidiablo--

cs_manu00 · Answer

ok mais le probleme, c'est pas vraiment le %
C'est plutot que si on peut faire ca, on peut surement injecter des commandes SQL non ?

Je ne sais pas trop. Si qqlun pouvait me dire.

Merci en tt cas pour l'astuce

Manu

cs_manu00 · Answer

C'est super !!! C exactement ce que je voulais savoir !!

Merci

cs_neodante · Answer

Salut,
je confirme que cela te pare pour 90% des injections ! C'est LA solution de base pour s&#233;curiser un peu son code, en plus c'est plus rapide &#224; l'ex&#233;cution car compil&#233; ;-)

Sache qu'on peut faire bien pire avec une injection du style shutdown de ton serveur ou prise de controle de ton serveur // :s

++

nodnod32 · Answer

bonjour
j'ai deux bases de données, et je voudrais lier deux tables dans les deux bases de données, je vous explique mon problème:

la première table contient comme entités : nom, prenom, adresse.que je peux imprimer comme rapport PDF
la deuxième table continet comme entités : nom, sexe, fonction 
et je voudrais qu'a chaque fois qu'un utilisateur tape l'age, ca s'injecte dans la deuxième table que j'imprimerai en PDF par la suite(rapport avec comme entitées : nom, sexe, age, fonction.
comment faire cette injection, sans toucher à la deuxième base de données, faire un programme en java ou autre qui pourra me resolver le problème.

svp qui peut m'éclairer???????

Probleme SQL dans java (injection ?)

6 réponses

Votre réponse