Sql server - dos du serveur
Soyez le premier à donner votre avis sur cette source.
Snippet vu 6 514 fois - Téléchargée 34 fois
Contenu du snippet
Attention. Ce code n'est pas vraiment une astuce. Il utlilise toutes les ressources du server SQL, le ralentit jusqu'au plantage (si le serveur est peut puissant). IL NE FAUT DONC PAS LANCER CE CODE (sauf pour le tester si ça vous plait)
Il est la à but informatif. Pourquoi ? tout simplement pour les audits. Si vous trouvez ce genre de code dans les log(victime d'SQL injection)
vous saurez qu'il faut vite patcher ça.
Sinon, juste pour l'idée de l'insert Select en boucle, je trouvais ça rigolo.
Aucune utilité (sauf l'audit et la connaissance)
Il est la à but informatif. Pourquoi ? tout simplement pour les audits. Si vous trouvez ce genre de code dans les log(victime d'SQL injection)
vous saurez qu'il faut vite patcher ça.
Sinon, juste pour l'idée de l'insert Select en boucle, je trouvais ça rigolo.
Aucune utilité (sauf l'audit et la connaissance)
Source / Exemple :
create table #myTmpTable
(champ1 varchar)
exec('insert into #myTmpTable select ''X''')
while 1=1 exec('insert into #myTmpTable select * from #myTmpTable')
A voir également
- Sql server - dos du serveur
- SQL : Sql server 2005 - avoir la liste des packages ssis et dts 2000 stockes sur le serveur - CodeS - Guide
- SQL : Sql server 2000 - compacter toutes les bases de données du serveur (faire un shrink) - - Guide
- SQL : Sql server 2005 - lister les modes de recuperation de toutes les bases de donnees du serveur - Guide
- SQL : Sql server 2000 - exporter les comptes utilisateurs sql et nt existant sur le serveur - CodeS - Guide
- SQL : Sql server : vérification de l'espace libre sur le serveur - CodeS SourceS - Guide
Commentaires
En effet, j'ai longement réfléchi avant de mettre ce bout de source. Pour finir, j'ai décider de la mettre mais je ne sais toujours pas si c'est très utile.
J'espèrais surtout générer une prisede conscience de la part des developpeurs.
Une autre technique, est d'utiliser un utilisateur qui n'a pas le droit de création d'une table (ou qui n'a pas le droit d'insert). Cette methode est vraiment discutable car en effet, la requête ci-dessus ne fonctionnera pas, mais si un utilisateur peut injecter du code SQL, il peut de toute façon corrompre le serveur.
Les faille de SQL injection sont très très très grâve sur un site ou une application.
Un audit intensif des logs + du code + la création d'un utilisateur avec les droits minimums permettent déjà d'empêcher un massacre.
Alors à vos sources ;-)
- Messages postés
-
1765
- Date d'inscription
- jeudi 12 octobre 2000
- Statut
- Modérateur
- Dernière intervention
- 11 décembre 2013
4Ta source pour le moment peut être considérer comme dangereuse sans cet ajout, et dans ce cas peut être ammené à être désactivée.
Romelard Fabrice.
Vous n'êtes pas encore membre ?
inscrivez-vous, c'est gratuit et ça prend moins d'une minute !
Les membres obtiennent plus de réponses que les utilisateurs anonymes.
Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.
Le fait d'être membre vous permet d'avoir des options supplémentaires.