Sécurité - Inject SQL et %

**bigsister** · 27/03/2006, 18h57

Est-il normal que mysql accepte :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 select * from matable where mavar = '1%'

Je croyais que % était un caractère joker uniquement pour LIKE et un autre truc mais pas pour = ???

**Thierry8** · 27/03/2006, 19h03

Pour te protéger des injections sql voici la fonction à utiliser avec mysql:

mysql_real_escape_string

**bigsister** · 28/03/2006, 10h01

ouais je sais lol je l'ai découvert il y un mois environ

Mais justement cette fonction n'enlève pas, entre autres, ce caractère : %.
Donc à moins de refaire un contrôle en plus pas moyen de retirer ce %... ce qui à la limite n'était pas génant à priori quand on utilisait pas de LIKE mais un =.

Apparement, suite à quelques tests perso il semblerait que le % dans après un = soit ignoré par mysql (ou purement sql d'ailleurs ?)...

Est-ce que quelqu'un pourrait me le confirmer et/ou m'expliquer le pourquoi du comment ?

**Maximil ian** · 28/03/2006, 11h37

En dehors du LIKE % est tout simplement considéré comme le caractère pourcent classique

**bigsister** · 28/03/2006, 12h21

pourtant quand je fais :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

select * from matable where mavar = '1%'

il me renvoit bien l'enregistrement corespondant à mavar = 1 alors qu'en théorie il ne devrait rien trouver...

**Maximil ian** · 28/03/2006, 13h02

Pas chez moi sous MySQL 5.0

**bigsister** · 28/03/2006, 13h48

Moi j'ai MySQL 4.0.15 et 4.0.21
Ce serait donc un problème inhérant à la version de mysql... soit.

D'ailleurs ce genre de requête provoque un bug avec PHPmyadmin :
Ca n'affiche qu'un résultat à l'écran pour ma requête pourtant ça propose de voir plusieurs pages de résultat...

J'ai remarqué que la requête suivante passe aussi !

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

select * from matable where mavar= '1%kjhhsqkjqhsdfh'

Quand mysql 4.0.15 ou 4.0.21 rencontrerait un % dans un = il ignorerait tout ce qu'il y a derrière y compris le % ...

bizarre bizarre...

**bigsister** · 28/03/2006, 19h38

bon en fait plus généralement je m'aperçois qu'on peut mettre n'importe quoi après un = pour une recherche sur un entier en tout cas.
Par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

select * from matable where mavar='1sdf56s4df5s4'

est traduit automatiquement par mysql en :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

select * from matable where mavar='1'

Pourquoi mysql est-il donc si permissif ? Est-ce que vous voyez des failles d'injection qui pourraient intervenir ?

On peut conclure que cette permissivité n'est pas dangereuse en soit à condition de contrôler comme d'habitude les contenus des variables GET, POST etc...

**Maximil ian** · 30/03/2006, 16h59

Attends mais quel est le type de mavar ?

**bigsister** · 30/03/2006, 20h44

un integer why ?

**Maximil ian** · 30/03/2006, 21h13

Envoyé par bigsister

un integer why ?

Envoyé par bigsister

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

select * from matable where mavar='1sdf56s4df5s4'

Tu ne vois pas comme un léger souci ?

**bigsister** · 31/03/2006, 14h04

??? Je récupère mavar dans un GET ou un POST ça peut très bien être n'importe quoi

**Maximil ian** · 31/03/2006, 14h08

Ce n'est pas au SGBD de faire du contrôle de saisie, lui il a une colonne de type INT donc il s'attend à une comparaison avec un entier.
Comment la valeur de la colonne mavar peut être égale à '1sdf56s4df5s4' si c'est un INT ?