Discussion :

[jrmourad]

Bonjour
je viens de scanner mon site avec Acunetix, et je découvre plusieurs pb de type blind sql injection
sur le forum j'ai lu qu'il faut utiliser des raquettes préparées mais je n'arrive pas à appliquer sur mon code, mon pb c'est la variable $where
ci-après un extrait de mon code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
try{
   $where='';
	if($test1!='')$where.=' AND code1=\''.$test1.'\' ';
	if($test2!='')$where.=' AND code2=\''.$test2.'\' ';
	if($test3!='0000000') $where.=' AND code3=\''.$test3.'\'';
$reponse = $bdd->query('select * from v_fiche where etat =0 AND etat_t=\'prep\' '.$where.' ORDER BY date  DESC LIMIT '.$debut.','.$nb_affichage_par_page.'');
}

merci

[sabotage]

Si tu vas faire un tennis, il faut bien préparer tes raquettes

Montre nous ce que tu as essayé pour la préparation de ta requête et on pourra te dire ce que tu as mal fait.

[jrmourad]

merci pour votre réponse et pour la remarque
j'ai essayé deux méthodes:
utilisation de "quote": toujours les mêmes remarques dans Acunetix

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$reponse = $bdd->query('select * from v_fiche where etat =0 AND etat_t=\'prep\' '.$bdd->quote($where).' ORDER BY date  DESC LIMIT '.$debut.','.$nb_affichage_par_page.'');

requête préparé

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
 
$req = $bdd->prepare('select * from v_fiche where etat =0 AND etat_t=\'prep\' ' ? ' ORDER BY date  DESC LIMIT '.$debut.','.$nb_affichage_par_page.'');
$reponse = $req->execute($where);

[CinePhil]

C'est ce qu'il y a dans le where qui peut poser problème !
Inutile de binder le where s'il laisse la porte ouverte aux injections.

[Bovino]

C'est ce qu'il y a dans le where qui peut poser problème !

Et donc le problème provient de ce que contiennent des variables $test1, $test2 et $test3. Il y a fort à parier que tu leur affectes directement les valeurs reçues depuis un formulaire...

[sabotage]

Ce n'est pas $where entier qu'il faut mettre en paramètre, c'est chaque valeur ;

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
try{
        $where='';
	if($test1 != '') {
               $where.= ' AND code1 = :test1';
               $param[':test1']=>$test1
        }
	if($test2!='') {
              $where .= ' AND code2 = :test2';
              $param[':test2']=>$test1
        }
	if($test3!='0000000') {
              $where .= ' AND code3 = :test3';
              $param[':test3']=>$test3
        }
$reponse = $bdd->query('SELECT * FROM v_fiche WHERE etat = 0 AND etat_t="prep"'. $where .' ORDER BY date  DESC LIMIT '.$debut.','.$nb_affichage_par_page);
}