IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Développement SQL Server Discussion :

Procédure stocké et injection


Sujet :

Développement SQL Server

  1. 25/02/2010, 04h35 #1
    allexpert
    allexpert est déconnecté
    Membre averti
    Profil pro
    Inscrit en
    Novembre 2008
    Messages
    48
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2008
    Messages : 48
    Par défaut Procédure stocké et injection
    Bonjour
    J'ai lu quelques articles sur l'injection de code SQL.
    J'ai commencer a filtrer le contenu de tout les champs de saisi transmit vers le serveur.
    J’ai entrepris de faire une simulation en utilisant le query analyzer avant de faire le test depuis un environnement web.
    Voici le code que j'ai testé.
    Je soumets une requête en utilisant une procédure stockée.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    exec SP_Test 'AAA@hotmail.com'
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
     
CREATE PROCEDURE [dbo].[SP_Test] 
@AdresseCourriel varchar(75)
 
AS
		--Vérifi si le compte a été activé
IF (SELECT   Activation FROM  TBL_Activation  WHERE (AdresseCourriel = @AdresseCourriel )) = 1
 
  BEGIN
	SELECT 'Flag'='true'
  END
ELSE --Si le compte na pas été activé
  BEGIN
      SELECT 'flag'='false' ,'test'=@AdresseCourriel 
  END
GO
    Ce que je voulais faire c'est de remplacer la fin du SELECT avec les instructions passé a la variable @AdresseCourriel
    En modifiant l'appel de la procédure comme sui j'aurais cru avoir le même résultat.

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    exec SP_Test 'AAA@hotmail.com)) = 1 --'
    Mais dans ce cas FLAG = FALSE

    Dois-je comprendre qu’en utilisant une procédure stockée l’injection de code ne fonctionne pas ? ou que ma tentative d'injection est mal écrite?

    Merci pour vos suggestion et commentaire
    Répondre avec citation Répondre avec citation   0  0
  2. 25/02/2010, 17h29 #2
    Sergejack
    Sergejack est déconnecté
    Membre éprouvé
    Profil pro
    Inscrit en
    Juillet 2006
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Juillet 2006
    Messages : 1 448
    Par défaut
    Je t'invite à lire sur "sp_executesql", ça t'intéresserait sans doute.
    Répondre avec citation Répondre avec citation   0  0
  3. 25/02/2010, 21h52 #3
    allexpert
    allexpert est déconnecté
    Membre averti
    Profil pro
    Inscrit en
    Novembre 2008
    Messages
    48
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Novembre 2008
    Messages : 48
    Par défaut
    sp_executesql (Transact-SQL)

    Exécute une instruction ou un traitement d'instructions Transact-SQL, réutilisable plusieurs fois ou créé dynamiquement. L'instruction ou le traitement d'instructions Transact-SQL peut contenir des paramètres incorporés.

    Que veule t'il dire par réutilisable
    http://msdn.microsoft.com/fr-fr/library/ms188001.aspx
    Je ne comprand pas quel est l'avantage de travailler avec sp_executesql
    Dans les exemples qu'il donne il définisse la requête et utilise le sp_executesql
    a l'intérieur d'une procédure stockée.

    Il y a un lien vers un texte a propos de l'injection très intéressant à lire.
    http://msdn.microsoft.com/fr-fr/library/ms161953.aspx
    Mais je n’arrive toujours pas à faire une simulation d’injection.
    Et je ne comprend pas plus pourquoi sa ne fonctionne pas.

    Si je met en place des moyens pour éviter d’être injecter et que je ne peu pas les tester
    C’est pas très malin
    Répondre avec citation Répondre avec citation   0  0
ActualitésF.A.Q SQL-SERVERTUTORIELS SQL-SERVERSOURCES SQL-SERVERLIVRES SQL-SERVER
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. Risque d'injection SQL avec un like dans une procédure stockée
    Par Oberown dans le forum Développement
    Réponses: 2
    Dernier message: 28/11/2012, 21h56
  2. passage d'un nom de table dans une procédure stockée
    Par thierry V dans le forum MS SQL Server
    Réponses: 7
    Dernier message: 26/07/2010, 16h48
  3. [Pervasive SQL ] procédure stockée
    Par magellan dans le forum Autres SGBD
    Réponses: 2
    Dernier message: 25/10/2002, 13h17
  4. Explication procédure stockée
    Par underworld dans le forum MS SQL Server
    Réponses: 2
    Dernier message: 09/09/2002, 10h51
  5. [Comparatif] Procédures stockées, triggers, etc.
    Par MCZz dans le forum Décisions SGBD
    Réponses: 3
    Dernier message: 28/08/2002, 12h27

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo