| Index de l'article |
|---|
| Protection contre le SQL Injection |
| Présentation du problème |
| Les variables qui contiennent des chaînes |
| La sécurité |
| Explication |
| Les variables numériques |
| Toutes les pages |
Page 3 sur 6
Les variables qui contiennent des chaînes :
Imaginez qu'un script PHP qui récupère l'âge d'un membre conformément à son
surnom. Ce surnom est parti d'une page à l'autre via l'URL
(en $ _GET). Ce script devrait ressembler à ceci :
1 |
$ pseudo = $ _GET [ 'pseudo']; |
Ce script est une grande vulnérabilité par injection SQL. Il suffit qu'une personne malveillante en mettant en place le nom d'utilisateur dans l'URL d'une requête comme ceci :
1 |
'Password UNION SELECT FROM membres WHERE id = 1
|
Ceci est juste une demonstration, par exemple le mot de passe le membre ayant l'ID 1.
| Suivant > |
|---|
