Discussion :

[JulieF]

Bonjour,

lorsque j'utilise ma base access, il reste toujours un fichier ldb ouvert portant le meme nom que la base. Est-ce normal vu que je suis seule a y accéder ?

Voici mon code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Set C = Server.CreateObject ("ADODB.Connection")
C.Provider = "Microsoft.Jet.OLEDB.4.0"
C.ConnectionString = "Data Source=" & Server.MapPath ("base.mdb")
C.Open
 
'ouverture de la base
sql = "Select * from table"
Set Rs = Server.CreateObject("ADODB.Recordset")
Rs.Open sql, C,1,3
'traitement
 
'fermeture de la base
Rs.close
set Rs = nothing
C.close
set C = nothing

Cordialement.

[kaiser59]

Salut,

Quand tu dis ouverte, tu le voies où sur ton ordinateur à toi ou sur le serveur distant (hébergeur) ?

Pour ma part j'ai ceci pour fermer :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
Set RS = Nothing
Conn.Close
Set Conn = Nothing

Si c'est en local, c'est que tu as ouvert toi-même Access, d'où ce fichier .ldb car même si tu ouvre une page asp, tu ne le verras pas que la BDD est ouverte.
Par contre, si c'est sur le serveur distant, c'est parce que ta base s'est faite attaquée certainement par le

' = ''

dans un de tes formulaires, à toi d'empêcher ceci.

[JulieF]

Je le vois sur le serveur.
Je ne comprends pas bien ce que tu veux dire par ' = ''.
Peux tu préciser ?

Cordialement.

[kaiser59]

Je le vois sur le serveur.
Je ne comprends pas bien ce que tu veux dire par ' = ''.
Peux tu préciser ?

Cordialement.

Alors là, ce n'est pas bon du tout, t'as base est "cassée" suite à du SQLInjection notamment par le ' = '' qui est une faille de sécurité, il te faut absolument supprimer ta base et la remplacer par une sauvegarde si tu en as une que j'espère pour toi. Car là, en mettant ça dans le formulaire on récupère les informations d'une personne donnée au hasard (j'ai eu le coup heureusement pour moi je connaissais la personne qui l'a fait et qui m'a averti de cette faille)

De plus, dans tout tes formulaires, et si tu prends des champs de ta base dans l'url (method get) il faut que tu fasses une recherche (instr) dedans pour identifier s'il n'y aurait pas pour valeur le '=''

Ce qui te donnerait quelque chose dans ce genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
if instr(request.querystring("id"),"'=''") <> 0 then
 response.write "Veuillez remplir correctement le formulaire"
else
 'continuer le code d''identification
end if

[JulieF]

Je ne pense pas que ma base soit "cassée" suite à du SQLInjection, car cela se produit sur toutes mes bases et même lorsque je crée une nouvelle base et que je suis seule en test dessus.

En tout cas, merci beaucoup pour l'information sur le SQLInjection que je ne connaissait pas. J'ai lu un article sur Wiki à ce sujet qui m'a bien éclaré. http://fr.wikipedia.org/wiki/Injection_SQL


Contre le SQLInjection, je pourrais ajoutant une fonction qui vérifie les principales fonctions SQL (INSERT, DROP, etc...) .
Mais je me demande si c'est vraiment util car ma requete se construit coté serveur quand je récupère les données et même si un hacker rajoute des fonctions sql dans mon champ, la requete devrait échouer puisque je la fait commencer par

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

INSERT INTO table VALUES ('valeur1', 'valeur2', etc...)

Pour le probleme d'identification, une solution a laquelle je viens de penser serait de mettre le mot de passe en 1er dans ma requete SQL. Comme cela si un hacker utilise ' -- pour indiquer un commentaire SQL et réduire ma requete, elle sera coupée trop tot. J'aurai par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM table WHERE password = ' --

et il n'y aura aucune incidence.

Qu'en penses tu ?

[kaiser59]

Etonnant, dans tout les cas tu dois avoir un problème avec ta base car tu ne dois pas voir ta base ouverte notamment par le fichier .ldb qui est visible que se soit en local ou à distance...

Ne pense pas à une petite requête pour contourner le problème, dit toi qu'il existe des modules firefox par exemple, qui permet d'ajouter dans les champs toutes les combinaisons existantes. Donc la requête ne semble pas être l'idéale.

L'une des alternatives et de créer une fonction qui remplace toutes les failles de sécurité connue avant de lancer la requête.

Par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
function SQLInj (strVerif)
test = strVerif
test = replace(test,"'=''","")
test = replace(test,"1=1","")
test = replace(ucase(test)," AND ","")
'etc....
end function