Discussion :

[cassy]

Bonjour,
je souhaite protéger mon site contre les injections sql et j'ai regardé cette page pour comprendre le fonctionnement.
http://www.linux-pour-lesnuls.com/injection.php
Je reprends les exemples de ce site:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_query("SELECT * FROM users WHERE utilisateur = '$login' AND motdepasse = '$password'");

si dans le champ correspondant au login on met:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

' OR 1=1"); //

la requete devient:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_query("SELECT * FROM users WHERE utilisateur = '' OR 1=1"); //' AND motdepasse = 'password'");

password étant le contenu de la variable $password.

Pourtant quand je le fais, le server mysql interprete la requete ainsi:

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM users WHERE utilisateur = '' OR 1=1"); //' AND motdepasse = 'password'

1064 - You have an error in your SQL syntax; check the manual that corresponds to your MySQL
server version for the right syntax to use near '"); //' AND motdepasse = 'password'' at line 1

Le probleme c'est que mysql tente d'interpreter "); // alors que c'est à apache de le faire.
Pourquoi le server mysql ne l'interprete-t-il pas ainsi?

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM users WHERE utilisateur = '' OR 1=1

Merci pour vos explications.
Cassy

[edit]merci julp pour avoir réediter mon post...j'y penserais la prochaine fois.
effectivement c'est plus clair bien qu'il y ait encore aucune reponse [edit]

[Xunil]

C'est pas 2 slashs pour mettre un commentaire en fin de requête, mais un dièse.

[cassy]

sauf que c'est bien // pour un commentaire php.
le

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

");

ferme le

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_query("

[Djakisback]

Salut,
tu dois avoir les magic quotes d'activés ce qui donne un fois posté :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_query("SELECT * FROM users WHERE utilisateur = '' OR 1=1\"); //' AND motdepasse = 'password'");

Bye

[Xunil]

sauf que c'est bien // pour un commentaire php.
le

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

");

ferme le

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_query("

Je ne parlais pas d'un commentaire php, mais d'un commentaire SQL.

Et puis # est aussi un délimiteur de commentaire en php.

Code PHP :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_query("SELECT * FROM users WHERE utilisateur='' OR 1=1 # AND motdepasse = 'password'");

[Antoun]

le commentaire SQL c'est -- (suivi d'un espace avec MySQL).

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
mysql_query("SELECT * 
  FROM users 
  WHERE utilisateur = '$login' 
    AND motdepasse = '' OR 1=1 -- '");

Echapper les apostrophes (comme il faut toujours faire), ou même ces immondes magic_quotes, te protègerait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
mysql_query("SELECT * 
  FROM users 
  WHERE utilisateur = '$login' 
    AND motdepasse = ''' OR 1=1 -- '");

[cassy]

ok merci je comprends mieux...
Le site laissait sous entendre qu'on pouvait executer du code php après le ");
ce qui n'a pas l'air d'être possible heureusement...
on peut donc modifier les requetes par sql injection mais pas le traitement qu'il y a derrrière coté apache si j'ai bien compris.

[Antoun]

PHP n'a pas de raison d'exécuter une variable (sauf s'il y a un eval() dans le script). Par contre, il envoie à MySQL des instructions où apparaissent les variables, d'où le risque d'injection.

Le même risque existe si PHP envoie des commandes à l'OS avec ``.

[Djakisback]

C'est bizzare cet article, c'est nimp ^^
A moins que j'aie loupé un truc ?