Discussion :

[sam01]

Bonjour, à tous,

voilà j'ai subi récemment à deux reprises des attaques sur mon site.
Ces attaques ont eu pour conséquences de supprimer des tables de ma bases de données.

voici un exemple de mes requêtes, pouvez-vous me dire si elles sont bien protégées des injections mysql :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
// Protège la variable avant l'insertion
function quote_smart($value){
// Stripslashes si nécessaire
        if (get_magic_quotes_gpc()){
                $value = stripslashes_deep($value);
        }
// Protection si ce n'est pas un entier
        if (!is_int($value)){
                $value = "'" . mysql_real_escape_string($value) . "'";
        }
return $value;
}
$sqly = sprintf("delete from flatforswap_adherent where id_adh=%s", quote_smart($_GET['id']));
$reqy = mysql_query($sqly) or die('Erreur SQL : <br />'.$sqly);
 
$sql_des = sprintf("delete from flatforswap_destination where id_adh=%s", quote_smart($_GET['id']));
$req_des = mysql_query($sql_des) or die('Erreur SQL : <br />'.$sql_des);
 
$sql_log = sprintf("delete from flatforswap_logement where id_adh=%s", quote_smart($_GET['id']));
$req_log = mysql_query($sql_log) or die('Erreur SQL : <br />'.$sql_log);

Merci d'avance pour votre aide.

[Bovino]

Ces attaques ont eu pour conséquences de supprimer des tables de ma bases de données.

pouvez-vous me dire si elles sont bien protégées des injections mysql

T'as pas l'impression que la réponse est dans la question ?

[bhamp0]

http://www.developpez.net/forums/d14...tement-videes/
http://www.developpez.net/forums/d14...donnees-mysql/
http://www.developpez.net/forums/d14...ille-requetes/
http://www.developpez.net/forums/d14...vidage-tables/

Va ptet falloir se calmer sur les ouvertures de sujets ...

[nels77]

Essaies ce plugin
https://addons.mozilla.org/fr/firefo...sql-inject-me/

[sam01]

Salut nels77, je l'ai bien testé mais je n'ai rien compris au rapport, de plus je me suis renseigné et il paraît que ce n'est pas fiable...

Une remarque, pour écrire mon code, je me suis inspiré de cet note :

http://php.developpez.com/faq/?page=mysql#mysql-escape

Si elle n'est plus d'actualité et donc plus efficace, pourquoi la laisser toujours en ligne..

[Celira]

Parce qu'elle est toujours valable, tant que tu utilises l'API mysql_. Ce n'est pas parce qu'on a inventé le robot-mixeur qu'on ne peut plus faire de soupe avec un moulin à légumes.
Cela étant dit, l'API mysql_ est considérée comme obsolète et il est recommandé de passer à mysqli ou PDO. (Note : obsolète ne veut pas forcément dire que ça ne marche plus, ça veut dire que ça va disparaitre dans une prochaine version)

A vue de nez, tes requêtes ont l'air propre. Es-tu sûr que le problème vient de là ? Pas d'interface PhpMyAdmin accessible facilement ? Tu es sur un hébergement dédié ?

[Yellu]

Bonjour,

Une petite ramarque sur ta fonction :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
function quote_smart($value){
// Stripslashes si nécessaire
        if (get_magic_quotes_gpc()){
                $value = stripslashes_deep($value);
        }
// Protection si ce n'est pas un entier
        if (!is_int($value)){
                $value = "'" . mysql_real_escape_string($value) . "'";
        }
return $value;
}

Comme son nom l'indique, get_magic_quotes_gpc indique le paramétrage de quotes automatiques pour les paramètres GET, POST et COOKIE, d’où le GPC à la fin du nom de la fonction.
Ta fonction n'as pas pour "unique" but de traiter les variables Get, Post et Cookie, puisqu'elle prend une variable en paramètre qui peut très bien être une variable autre que GPC.

Ton test de stripslashes n'as donc rien à faire ici, tu devrai te faire une fonction de récupération de variable GPC qui, elle, posséderait ce test et le retirer de ta fonction de protection de paramètre de requêtes BDD.