INJECTION


2 messages dans ce sujet

Posté(e) · Signaler ce message

Bonjour,

Je constate dans des logs que des utilisateurs envoient des requêtes étranges.

www.monsite.fr/achat/produit_details.php&id=1+AND+1=2+UNION+SELECT+0x6461726b31636f6465,0x6461726b32636f6465,0x6461726b33636f6465--

"UNION", "SELECT" et les "--" je sais que c'est pour neutraliser les requetes ou inserer des éléments ??

Y a t il une sécurité pour cela ? Et où est elle (quel fichier ?) ?

 

Merci

Patrice

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Posté(e) · Signaler ce message

Bonjour,

Sur PEEL lorsque l'on utilise une variable dans une requête SQL, on utilise toujours une fonction sur la variable qui protège la requête. Les fonctions utilisées ne sont pas les mêmes selon le contexte, et en l’occurrence pour un id (valeur numérique) on utilise la fonction intval() sur la variable pour s'assurer que c'est bien un entier numérique qui est transmis. Pour une chaine de caractère on peut utiliser real_escape_string, nohtml_real_escape_string ou word_real_escape_string pour protéger la requête.

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !


Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.


Connectez-vous maintenant

Twitter Advisto ecommerce

Facebook PEEL Shopping