logo Homepage
+  NewbieContest
|-+  Divers» Hacking» Aide Sql injection
Username:
Password:
Pages: 1 [2]
  Imprimer  
Auteur Fil de discussion: Aide Sql injection  (Lu 9867 fois)
Zmx

Profil challenge

Classement : 73/54670

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 559


Voir le profil WWW
« #15 le: 06 Janvier 2007 à 19:32:14 »

Citation de: Fantastikos
Moi j'ai trouvé un tuto pas mal sur l'injection SQL.

http://venom630.free.fr/tutoriaux/hacking/injection_sql/

Par contre je ne comprend pas où on doit injecter notre code SQL.
Dans la zone de saisie du formulaire ? --> Ca ne marche pas.

Merci de votre aide.
ça ne marche JAMAIS si le site est protégé contre ça.

C'est aussi tres difficile des que magic_quote est activé...

Tu crois quoi ? que suffit de lire un tut pour hacker tous les formulaire du net ?
Journalisée

Fantastikos
Profil challenge

Classement : 22796/54670

Néophyte
*
Hors ligne Hors ligne
Messages: 24


Voir le profil WWW
« #16 le: 06 Janvier 2007 à 20:28:28 »

Citation de: Zmx
Citation de: Fantastikos
Moi j'ai trouvé un tuto pas mal sur l'injection SQL.

http://venom630.free.fr/tutoriaux/hacking/injection_sql/

Par contre je ne comprend pas où on doit injecter notre code SQL.
Dans la zone de saisie du formulaire ? --> Ca ne marche pas.

Merci de votre aide.
ça ne marche JAMAIS si le site est protégé contre ça.

C'est aussi tres difficile des que magic_quote est activé...

Tu crois quoi ? que suffit de lire un tut pour hacker tous les formulaire du net ?
Ha bon j'ai dis ça ! Je crois pas. Calme t'es hardeures.
Journalisée

La temps est sans importance, seule la vie est importante...
Zmx

Profil challenge

Classement : 73/54670

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 559


Voir le profil WWW
« #17 le: 06 Janvier 2007 à 21:21:06 »

Hardeures, hardeuses ....

Ps: vu qu'on est pas dans le section prévu pour l'aide des epreuves, je pensais "naivement" que tu voulais utilisé ton tuto "on the web", et pas "on NC" donc a la rigueur, poste au bon endroit !!!
Journalisée

Nebelmann

Profil challenge

Classement : 467/54670

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 1357


Voir le profil
« #18 le: 07 Janvier 2007 à 13:28:52 »

Citation
Calme t'es hardeures.
Arrête un peu de causer comme ça aux gens, tu es en train de te faire détester de tout le monde...
Ce n'est pas en prenant les gens de haut que tu vas devenir mieux qu'un boulet.
Journalisée

-- Nebelmann -- Registered linux user #429186
«Si les lecteurs étaient des compilateurs, les posteurs feraient peut-être davantage attention à ce qu'ils écrivent...»
Nms

Profil challenge

Classement : 76/54670

Membre Héroïque
*****
Hors ligne Hors ligne
Messages: 794


Voir le profil
« #19 le: 07 Janvier 2007 à 14:22:10 »

Le problème Fantastikos c'est que la plupart des sites sont protégés contre les injections SQL basiques tels que celles qui sont présentées dans le tuto que tu as lu. En effet, sur la plupart des serveurs, PHP est servi avec magic_quotes_gpc qui a le bon goût (ou le mauvais suivant le côté où on se place) d'ajouter des backslash \ devant les quotes et les doubles quotes. Un simple quote ' devient donc \' et un double " devient \" . Ceci empêche la plupart  des injections SQL car cela empêche de "sortir" des champs entre quotes (ou double quotes) de la requête : un quote précédé de \ sera considéré comme le caractère ' par SQL alors que si tu mets une simple quote, tu peux dans une requête comme SELECT * FROM users WHERE login='$login' sortir de l'espace normalement réservé à $login (entre les quotes) et donc modifier la requête comme bon te semble.

Le seul bon conseil que je puisse te donner est de tester par toi même sur un script fait par tes soins (en local ou sur un hébergeur comme free par exemple en n'oubliant pas que free a magic_quotes_gpc d'activé) : tu te fais un formulaire qui envoie les données vers un script php qui contient une requête SQL. Si là où tu testes, les magic_quotes sont activées, tu verras que tu ne pourras rien faire, en revanche si soit tu les désactives soit tu mets un stripslashes sur les données au début du script alors là tu pourras tester les effets de l'injection SQL. Et entraine toi sur les requêtes SQL, voir ce qu'il est possible de faire, car il faut bien maitriser le langage SQL pr arriver à qqchose. Prend ton tps surtout, ce n'est pas trivial lorsqu'on débute.
Journalisée

Ex Newbie Contest Staff :
Nms
Status :
Concepteur d'épreuves
Citation :
Je ne sais qu'une chose : que je ne sais rien. (Socrate)
Pages: 1 [2]
  Imprimer  
 
Aller à: