NewbieContest

Bonjour , voila je tente une sql injection sur le site d'un pot :lol:

login: blabla
pass: ' or 1=1

et la j'ai en retour Warning: mysql_numrows(): supplied argument is not a valid MySQL result resource in /page.php on line 40  :rolleyes:

si quelqu'un pouvez m'aider car je suis vrément noob en php/mysql
d'**orthographe !** il m'a di le nom de sa table , c'est passadmin...

bye

Essaye 'or 1=1# ou 'or 1=1--   !

lol exact du coup sa marche mieu
Merci a toi :lol:

derien !

Mais a quoi servent donc les si belles epreuves de NC ????

Voila un bel exemple de la question qui m'a été posé l'autre soir : "Est ce que mettre des commentaires a la fin sert vraiment à grand chose ?"

lol est bien justement j'arrive pas a la passer cette épreuve :?

Oui a cette epreuve il faut faire attention au espaces et a ne pas mettre de majuscules

erf a enfin merci pour le conseil sa marche mieu maintenant :D
Merci encore a toi ... ta signature dit bien la vérité :lol:

Moi j'ai trouvé un tuto pas mal sur l'injection SQL.

http://venom630.free.fr/tutoriaux/hacking/injection_sql/

Par contre je ne comprend pas où on doit injecter notre code SQL.
Dans la zone de saisie du formulaire ? --> Ca ne marche pas.

Merci de votre aide.

alors la je crois que toi tu as tout compris :rolleyes:

Merci pour cette réponse inutile qui ne fait pas avancer le problème :evil:

Une aide un peu plus constructive serait la bienvenue....

c'est bien dans la zone de saisie mais il faut faire la bonne injection

Bah c'est sacrément bizzar !! Il existe pleins d'injections.
D'après le tuto il faut injecter des données vrais .
Mais ça ne fonctionne pas. D'où mon post :D

Ahh la la ! J'adore quand les gens remontent des topics pourssierreux et pas tellement utiles...

Enjoy

The lsd

J'y crois pas :shock: !!

Encore une réponse qui ne serre à rien.
De plus je prend les vieux topics pour éviter d'en faire un autre !

C'est pas moi qui est inventé les règles...

ça ne marche JAMAIS si le site est protégé contre ça.

C'est aussi tres difficile des que magic_quote est activé...

Tu crois quoi ? que suffit de lire un tut pour hacker tous les formulaire du net ?

Ha bon j'ai dis ça ! Je crois pas. Calme t'es hardeures.

Hardeures, hardeuses ....

Ps: vu qu'on est pas dans le section prévu pour l'aide des epreuves, je pensais "naivement" que tu voulais utilisé ton tuto "on the web", et pas "on NC" donc a la rigueur, poste au bon endroit !!!

Arrête un peu de causer comme ça aux gens, tu es en train de te faire détester de tout le monde...
Ce n'est pas en prenant les gens de haut que tu vas devenir mieux qu'un boulet.

Le problème Fantastikos c'est que la plupart des sites sont protégés contre les injections SQL basiques tels que celles qui sont présentées dans le tuto que tu as lu. En effet, sur la plupart des serveurs, PHP est servi avec magic_quotes_gpc qui a le bon goût (ou le mauvais suivant le côté où on se place) d'ajouter des backslash \ devant les quotes et les doubles quotes. Un simple quote ' devient donc \' et un double " devient \" . Ceci empêche la plupart  des injections SQL car cela empêche de "sortir" des champs entre quotes (ou double quotes) de la requête : un quote précédé de \ sera considéré comme le caractère ' par SQL alors que si tu mets une simple quote, tu peux dans une requête comme SELECT * FROM users WHERE login='$login' sortir de l'espace normalement réservé à $login (entre les quotes) et donc modifier la requête comme bon te semble.

Le seul bon conseil que je puisse te donner est de tester par toi même sur un script fait par tes soins (en local ou sur un hébergeur comme free par exemple en n'oubliant pas que free a magic_quotes_gpc d'activé) : tu te fais un formulaire qui envoie les données vers un script php qui contient une requête SQL. Si là où tu testes, les magic_quotes sont activées, tu verras que tu ne pourras rien faire, en revanche si soit tu les désactives soit tu mets un stripslashes sur les données au début du script alors là tu pourras tester les effets de l'injection SQL. Et entraine toi sur les requêtes SQL, voir ce qu'il est possible de faire, car il faut bien maitriser le langage SQL pr arriver à qqchose. Prend ton tps surtout, ce n'est pas trivial lorsqu'on débute.