Zebra1928
Messages postés163Date d'inscriptionjeudi 15 juillet 2004StatutMembreDernière intervention27 janvier 2016
-
24 sept. 2006 à 17:18
cs_jean84
Messages postés449Date d'inscriptionjeudi 26 août 2004StatutMembreDernière intervention 5 mars 2009
-
25 sept. 2006 à 14:38
Bonjour à tous,
Je viens d'être informé par un ami que mon site a une faille de sécurité, tous le monde peut recuperer les infos du login et password de l'administrateur par ceci:
de Mon Site?ref=-1/**/union/**/select/**/1,2,concat http://URL de Mon Site?ref=-1/**/union/**/select/**/1,2,concat(0x2D2D2D2D2D2D2D2D2D2D2D2D3C62723E757365723A,login,0x3C62723E706173733A,pass),4,5,6,7,9,10,11,12,13,14,15,16,17,18,19,20+from+admin--
dès que qlq click sur ce lien il a accès aux enregistrement de cette table.
Zebra1928
Messages postés163Date d'inscriptionjeudi 15 juillet 2004StatutMembreDernière intervention27 janvier 2016 25 sept. 2006 à 14:15
J'ai pu régler le problème avec des amis après une longue recherche, protéger les variables avec $_POST et $_GET ce n'est pas suffisant, car les injections marche bien même avec ceci
cs_jean84
Messages postés449Date d'inscriptionjeudi 26 août 2004StatutMembreDernière intervention 5 mars 2009 25 sept. 2006 à 14:38
Vous etes marrant mais ne me faites pas dire ce que je n'ai pas dit : passer ses requetes par un $_POST est tout aussi debile... passer de toute facon ses requetes par le biais d'un formulaire HTML est de l'inconscience pure, apres c'est a chacun de voir.