Sujet Précédent Sujet Suivant

URGENT SVP !!!!

Zebra1928 Messages postés 163 Date d'inscription jeudi 15 juillet 2004 Statut Membre Dernière intervention 27 janvier 2016 - 24 sept. 2006 à 17:18
cs_jean84 Messages postés 449 Date d'inscription jeudi 26 août 2004 Statut Membre Dernière intervention 5 mars 2009 - 25 sept. 2006 à 14:38
Bonjour à tous,

Je viens d'être informé par un ami que mon site a une faille de sécurité, tous le monde peut recuperer les infos du login et password de l'administrateur par ceci:

 de Mon Site?ref=-1/**/union/**/select/**/1,2,concat http://URL de Mon Site?ref=-1/**/union/**/select/**/1,2,concat(0x2D2D2D2D2D2D2D2D2D2D2D2D3C62723E757365723A,login,0x3C62723E706173733A,pass),4,5,6,7,9,10,11,12,13,14,15,16,17,18,19,20+from+admin--


dès que qlq click sur ce lien il a accès aux enregistrement de cette table.

Comment je fais pour eviter ceci

URGEEEEEEEEEEEEEEENT SVP
Et Merci






@ -:) Zebra

8 réponses

Réponse 1 / 8
FhX Messages postés 2350 Date d'inscription mercredi 13 octobre 2004 Statut Membre Dernière intervention 18 avril 2015 3
24 sept. 2006 à 18:06
Ta requète qui est mal parsée.
mysql_real_escape_string()
0
Réponse 2 / 8
Arto_8000 Messages postés 1044 Date d'inscription lundi 7 mars 2005 Statut Membre Dernière intervention 13 juillet 2010 7
24 sept. 2006 à 19:33
Ta essayer avec addslashes ? Dans la plupart des cas tu peux empecher les injections SQL avec cela.
0
Réponse 3 / 8
cs_jean84 Messages postés 449 Date d'inscription jeudi 26 août 2004 Statut Membre Dernière intervention 5 mars 2009
24 sept. 2006 à 20:36
Quelle idee aussi de passer ses requetes sql par $_GET ??

Sinon pour eviter ceci essaye url_encode() mais a mon avis, faudrait revoir le script pour eviter ce genre de choses...
0
Réponse 4 / 8
syndrael Messages postés 2378 Date d'inscription lundi 4 février 2002 Statut Membre Dernière intervention 29 décembre 2012 20
25 sept. 2006 à 08:26
Pour répondre au passage à Jean. Passer ses requetes en GET c'est très
maladroit, mais la passer en POST c'est tout aussi dangereux.

Le SQL Injection marche aussi bien pour l'un que pour l'autre..

S.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
Zebra1928 Messages postés 163 Date d'inscription jeudi 15 juillet 2004 Statut Membre Dernière intervention 27 janvier 2016
25 sept. 2006 à 12:33
Merci pour vos réponses, mais tous les cas cités ne réglent pas le problème

@ -:) Zebra
0
Réponse 6 / 8
syndrael Messages postés 2378 Date d'inscription lundi 4 février 2002 Statut Membre Dernière intervention 29 décembre 2012 20
25 sept. 2006 à 13:24
Tu veux po nous donner une partie de code ou tu vois TON problème ??

Peut-être ke la cause n'est po celle à laquelle tu penses..

S.
0
Réponse 7 / 8
Zebra1928 Messages postés 163 Date d'inscription jeudi 15 juillet 2004 Statut Membre Dernière intervention 27 janvier 2016
25 sept. 2006 à 14:15
J'ai pu régler le problème avec des amis après une longue recherche, protéger les variables avec $_POST et $_GET ce n'est pas suffisant, car les injections marche bien même avec ceci

Vous trouverai plus de détails dans cet article :
http://www.vulgarisation-informatique.com/failles-php.php

Merci pour vos réponses

@ -:) Zebra
0
Réponse 8 / 8
cs_jean84 Messages postés 449 Date d'inscription jeudi 26 août 2004 Statut Membre Dernière intervention 5 mars 2009
25 sept. 2006 à 14:38
Vous etes marrant mais ne me faites pas dire ce que je n'ai pas dit : passer ses requetes par un $_POST est tout aussi debile... passer de toute facon ses requetes par le biais d'un formulaire HTML est de l'inconscience pure, apres c'est a chacun de voir.

@+
0
Rejoignez-nous