Auteur Sujet: Injection SQL (Lu 1617 fois)

maxya · « **le:** 07 Juillet 2014, 03:55:55 »

Salut,

Je me demande s'il y'a un risque de se faire hacké son compte si ont utilise une DB pour stocké les informations en utilisant SQL si je protège pas mes requêtes ?

Merci d'avance,
Cordialement,

Infu · « **Réponse #1 le:** 07 Juillet 2014, 14:38:10 »

Oui bien-sûr, n'importe qui peut faire une injection SQL. Pour éviter cela tu dois utiliser une fonction, simple d'utilisation qui est:

Code: (pawn) [Sélectionner]

mysql_real_escape_string(str, str);Le premier argument de cette fonction c'est le texte reçu (par exemple ici, str) le deuxième est le texte "transformé" (ici, on garde str, mais tu peux utiliser autre chose).

Rien qu'avec ça, toute tentative d'injection SQL sera inefficace.

Xolokos · « **Réponse #2 le:** 07 Juillet 2014, 17:28:46 »

Comme Infu' la dit, l'injection SQL se base sur l'utilisation des " ' " cette fonction ajoute un " \ " avant les " ' " et donc rend inefficace les injections.

maxya · « **Réponse #3 le:** 07 Juillet 2014, 23:25:12 »

Cool merci les gens !

Ssk · « **Réponse #4 le:** 08 Juillet 2014, 01:26:28 »

Citation de: Xolokos le 07 Juillet 2014, 17:28:46

Comme Infu' la dit, l'injection SQL se base sur l'utilisation des " ' " cette fonction ajoute un " \ " avant les " ' " et donc rend inefficace les injections.

Les injections SQL sur des integers, ne nécessitent pas de ' ^^

Auteur Sujet: Injection SQL (Lu 1617 fois)

maxya

Injection SQL

Infu

Re : Injection SQL

Xolokos

Re : Injection SQL

maxya

Re : Injection SQL

Ssk

Re : Re : Injection SQL