Injection Mysql
Posté : 01 avr. 2010, 16:41
Bonjour,
Je suis en train de rédiger un article sur la sécurité des sessions etc à partir de ce que j'ai pu lire sur le net. Connaissant mal Mysql (ça fait longtemps que je ne l'ai pas utilisé), j'aurais voulu avoir vos retours d'expérience.
Donc le premier danger d'injection en SQL est le quote '. Le quote ` est-il dangereux ?
L'injection de "%" peut aussi permettre certaines choses avec LIKE (mais pour l'éviter je ne sais pas si un "=" fonctionne sur des varchar). Je sais que l'ajout de commentaires peut être dangereux mais cela à partir du moment où on a réussit l'injection de quote.
Quels sont les autres caractères susceptibles de changer le comportement de SQL (le joker %, etc ...) ?
Cordialement,
Je suis en train de rédiger un article sur la sécurité des sessions etc à partir de ce que j'ai pu lire sur le net. Connaissant mal Mysql (ça fait longtemps que je ne l'ai pas utilisé), j'aurais voulu avoir vos retours d'expérience.
Donc le premier danger d'injection en SQL est le quote '. Le quote ` est-il dangereux ?
L'injection de "%" peut aussi permettre certaines choses avec LIKE (mais pour l'éviter je ne sais pas si un "=" fonctionne sur des varchar). Je sais que l'ajout de commentaires peut être dangereux mais cela à partir du moment où on a réussit l'injection de quote.
Quels sont les autres caractères susceptibles de changer le comportement de SQL (le joker %, etc ...) ?
Cordialement,
