INJECTION


2 posts in this topic

Posted · Report post

Bonjour,

Je constate dans des logs que des utilisateurs envoient des requêtes étranges.

www.monsite.fr/achat/produit_details.php&id=1+AND+1=2+UNION+SELECT+0x6461726b31636f6465,0x6461726b32636f6465,0x6461726b33636f6465--

"UNION", "SELECT" et les "--" je sais que c'est pour neutraliser les requetes ou inserer des éléments ??

Y a t il une sécurité pour cela ? Et où est elle (quel fichier ?) ?

 

Merci

Patrice

 

Share this post


: post
Share on other sites

Posted · Report post

Bonjour,

Sur PEEL lorsque l'on utilise une variable dans une requête SQL, on utilise toujours une fonction sur la variable qui protège la requête. Les fonctions utilisées ne sont pas les mêmes selon le contexte, et en l’occurrence pour un id (valeur numérique) on utilise la fonction intval() sur la variable pour s'assurer que c'est bien un entier numérique qui est transmis. Pour une chaine de caractère on peut utiliser real_escape_string, nohtml_real_escape_string ou word_real_escape_string pour protéger la requête.

Share this post


: post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!


Register a new account

Sign in

Already have an account? Sign in here.


Sign In Now

Twitter Advisto ecommerce

Facebook PEEL Shopping