Probleme SQL dans java (injection ?) [Résolu]
cs_manu00
- Messages postés
- 93
- Date d'inscription
- jeudi 19 décembre 2002
- Dernière intervention
- 25 octobre 2006
- Messages postés
- 17
- Date d'inscription
- samedi 14 février 2009
- Dernière intervention
- 25 juin 2009
A voir également:
- Injection sql java
- Injection java - Meilleures réponses
- Sql en java - Meilleures réponses
- Problème avec requête sql en java ✓ - Forum - Java
- Requete SQL et java ✓ - Forum - Java
- Injection sql evitez les failles dans vos requettes - Conseils pratiques - PHP
- Java : Console sql pour mysql, oracle, access (ou+) avec utilisation de jtable - CodeS SourceS - Guide
- Java : Connexion à une base de données sql server 2005 - CodeS SourceS - Guide
6 réponses
Meilleure réponse
- Messages postés
- 405
- Date d'inscription
- mardi 18 décembre 2001
- Dernière intervention
- 15 juillet 2014
pour la requete que tu utilises, l'injection n'est pas réellemnt un risque.
par contre, ça le serait si elle servait à l'authentification.
soit une requete du genre :
"select nom, prenom where login='"+ leLogin +"' and passe='"+ lePass+"'"
l'injection consiterai à mettre comme mot de passe dans le formulaire : '%20OR%20'1'='1
ce qui donne la requete :
select nom, prenom where login='toto' and passe='' OR '1'='1'
qui est toujour vraie
pour se faire, il faut donc utilise les Prepare Statements:
String laRequete="select nom, prenom where login=? and passe=?";
Connection con = null;
PreparedStatement ps = null;
ResultSet rs = null;
try {
con = this.getConnection();
ps = con.prepareStatement(laRequete);
ps.setString(1, leLogin);
ps.setString(2, lePasse);
rs = ps.executeQuery();
// Constitution du resultset
if (rs.next()) {
String lenom = rs.getString("nom");
}
} catch (SQLException se) {
logger.error(se.getMessage(), se);
} finally {
try {
rs.close();
ps.close();
con.close();
}
catch (Exception ex) {
logger.error(ex.getMessage(), ex);
}
}
par contre, ça le serait si elle servait à l'authentification.
soit une requete du genre :
"select nom, prenom where login='"+ leLogin +"' and passe='"+ lePass+"'"
l'injection consiterai à mettre comme mot de passe dans le formulaire : '%20OR%20'1'='1
ce qui donne la requete :
select nom, prenom where login='toto' and passe='' OR '1'='1'
qui est toujour vraie
pour se faire, il faut donc utilise les Prepare Statements:
String laRequete="select nom, prenom where login=? and passe=?";
Connection con = null;
PreparedStatement ps = null;
ResultSet rs = null;
try {
con = this.getConnection();
ps = con.prepareStatement(laRequete);
ps.setString(1, leLogin);
ps.setString(2, lePasse);
rs = ps.executeQuery();
// Constitution du resultset
if (rs.next()) {
String lenom = rs.getString("nom");
}
} catch (SQLException se) {
logger.error(se.getMessage(), se);
} finally {
try {
rs.close();
ps.close();
con.close();
}
catch (Exception ex) {
logger.error(ex.getMessage(), ex);
}
}
Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire
120 internautes nous ont dit merci ce mois-ci
/a5d9be1525ef44d191e48c7a018e9150/auth-avatar/dbd31671b0aba11e5d0021ba261184d4-capoueidiablo)
- Messages postés
- 316
- Date d'inscription
- jeudi 9 janvier 2003
- Dernière intervention
- 1 février 2010
/8d7091b2bdec404989d7b959592e1405/auth-avatar/d66b837464d10efbf62fda99c7dd1b57-cs_neodante)
- Messages postés
- 2837
- Date d'inscription
- lundi 11 août 2003
- Dernière intervention
- 16 décembre 2006
Salut,
je confirme que cela te pare pour 90% des injections ! C'est LA solution de base pour sécuriser un peu son code, en plus c'est plus rapide à l'exécution car compilé ;-)
Sache qu'on peut faire bien pire avec une injection du style shutdown de ton serveur ou prise de controle de ton serveur // :s
++
je confirme que cela te pare pour 90% des injections ! C'est LA solution de base pour sécuriser un peu son code, en plus c'est plus rapide à l'exécution car compilé ;-)
Sache qu'on peut faire bien pire avec une injection du style shutdown de ton serveur ou prise de controle de ton serveur // :s
++
- Messages postés
- 17
- Date d'inscription
- samedi 14 février 2009
- Dernière intervention
- 25 juin 2009
bonjour
j'ai deux bases de données, et je voudrais lier deux tables dans les deux bases de données, je vous explique mon problème:
la première table contient comme entités : nom, prenom, adresse.que je peux imprimer comme rapport PDF
la deuxième table continet comme entités : nom, sexe, fonction
et je voudrais qu'a chaque fois qu'un utilisateur tape l'age, ca s'injecte dans la deuxième table que j'imprimerai en PDF par la suite(rapport avec comme entitées : nom, sexe, age, fonction.
comment faire cette injection, sans toucher à la deuxième base de données, faire un programme en java ou autre qui pourra me resolver le problème.
svp qui peut m'éclairer???????
j'ai deux bases de données, et je voudrais lier deux tables dans les deux bases de données, je vous explique mon problème:
la première table contient comme entités : nom, prenom, adresse.que je peux imprimer comme rapport PDF
la deuxième table continet comme entités : nom, sexe, fonction
et je voudrais qu'a chaque fois qu'un utilisateur tape l'age, ca s'injecte dans la deuxième table que j'imprimerai en PDF par la suite(rapport avec comme entitées : nom, sexe, age, fonction.
comment faire cette injection, sans toucher à la deuxième base de données, faire un programme en java ou autre qui pourra me resolver le problème.
svp qui peut m'éclairer???????
Vous n'êtes pas encore membre ?
inscrivez-vous, c'est gratuit et ça prend moins d'une minute !
Les membres obtiennent plus de réponses que les utilisateurs anonymes.
Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.
Le fait d'être membre vous permet d'avoir des options supplémentaires.