IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

MS SQL Server Discussion :

Securité MS-SQL et INTERNET


Sujet :

MS SQL Server

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre averti
    Inscrit en
    Novembre 2002
    Messages
    15
    Détails du profil
    Informations forums :
    Inscription : Novembre 2002
    Messages : 15
    Par défaut Securité MS-SQL et INTERNET
    Coucou, vla ma ptit question: je termine la réalisation d'un site et j'ai entendu dire qu'il été possible pour un pirate d'entré sur le serveur via un script sql qu'il introduit dans une textbox présente sur un formulaire du site. Ma question est donc la suivante: Comment faire pour empéché cela??

    l'utilisation de contraintes d'intégrité (Check()) serait'il sufisant ?

  2. #2
    Rédacteur/Modérateur

    Avatar de Fabien Celaia
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Octobre 2002
    Messages
    4 228
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 55
    Localisation : Suisse

    Informations professionnelles :
    Activité : Administrateur de base de données
    Secteur : Service public

    Informations forums :
    Inscription : Octobre 2002
    Messages : 4 228
    Billets dans le blog
    25
    Par défaut
    Déjà,
    1) éviter l'utilisation de SA
    2) ne donner que les permissions strictement nécessaires au login utilisé
    Sr DBA Oracle / MS-SQL / MySQL / Postgresql / SAP-Sybase / Informix / DB2

    N'oublie pas de consulter mes articles, mon blog, les cours et les FAQ SGBD

    Attention : pas de réponse technique par MP : pensez aux autres, passez par les forums !

  3. #3
    Membre averti
    Inscrit en
    Novembre 2002
    Messages
    15
    Détails du profil
    Informations forums :
    Inscription : Novembre 2002
    Messages : 15
    Par défaut
    Le formulaire dont je parle est accessible a tout le monde (pas de login/pwd). La technique du pirate consite à écrire dans la textbox du formulaire ex: le formulaire contient N champ, la page du site fait un INSERT dans la table

    INSERT INTO
    NOM_TABLE (CHAMP_1,...,CHAMP_N)
    VALUES (VALEUR_1,...,VALEUR_N)

    Au lieu d'introduire une valeur (ex: dupont) dans le dernier champ
    il introduit des " et ferme la parenthése ensuite il continu son script

    (INSERT INTO
    NOM_TABLE (CHAMP_1,...,CHAMP_N)
    VALUES (VALEUR_1,...,"") ALTER TABLE ....

    MS-SQL va donc faire l'insert et la suite du script . Une possibilité serai d'avoir une txtbox avec un nombre limité de caractéres, mais la il peut tjs changé le source de la page. On ma donc conseiller d'utilisé un triggers MAIS OU?? une fois l'insert réalisé le mal est fait

  4. #4
    Rédacteur/Modérateur

    Avatar de Fabien Celaia
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Octobre 2002
    Messages
    4 228
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 55
    Localisation : Suisse

    Informations professionnelles :
    Activité : Administrateur de base de données
    Secteur : Service public

    Informations forums :
    Inscription : Octobre 2002
    Messages : 4 228
    Billets dans le blog
    25
    Par défaut
    Pas faisable si l'utilisateur qui se connecte à MS-SQL via votre IIS (ou autre) n'as pas d'autorisations pour créer des objets, et juste l'autorisation de faire des insert/update/delete sur els tables utilisateur.
    Sr DBA Oracle / MS-SQL / MySQL / Postgresql / SAP-Sybase / Informix / DB2

    N'oublie pas de consulter mes articles, mon blog, les cours et les FAQ SGBD

    Attention : pas de réponse technique par MP : pensez aux autres, passez par les forums !

  5. #5
    Membre averti
    Inscrit en
    Novembre 2002
    Messages
    15
    Détails du profil
    Informations forums :
    Inscription : Novembre 2002
    Messages : 15
    Par défaut [Resolu]
    grand merci ça marche (cété tout simple )

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. Securité php sql
    Par maloy dans le forum Langage
    Réponses: 0
    Dernier message: 18/07/2012, 19h30
  2. Réponses: 0
    Dernier message: 16/09/2011, 00h11
  3. Réponses: 10
    Dernier message: 25/10/2005, 16h09
  4. [Sécurité] $_SERVER['HTTP_REFERER'] / Norton Internet Security
    Par nicolas.charlot dans le forum Langage
    Réponses: 1
    Dernier message: 13/10/2005, 11h10
  5. Choix technique DB ACCESS / SQL Server et internet
    Par Yoann_D dans le forum Décisions SGBD
    Réponses: 12
    Dernier message: 29/07/2003, 17h12

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo