[Zmx]

Moi j'ai trouvé un tuto pas mal sur l'injection SQL.

http://venom630.free.fr/tutoriaux/hacking/injection_sql/

Par contre je ne comprend pas où on doit injecter notre code SQL.
Dans la zone de saisie du formulaire ? --> Ca ne marche pas.

Merci de votre aide.

ça ne marche JAMAIS si le site est protégé contre ça.

C'est aussi tres difficile des que magic_quote est activé...

Tu crois quoi ? que suffit de lire un tut pour hacker tous les formulaire du net ?

[Fantastikos]

Moi j'ai trouvé un tuto pas mal sur l'injection SQL.

http://venom630.free.fr/tutoriaux/hacking/injection_sql/

Par contre je ne comprend pas où on doit injecter notre code SQL.
Dans la zone de saisie du formulaire ? --> Ca ne marche pas.

Merci de votre aide.

ça ne marche JAMAIS si le site est protégé contre ça.

C'est aussi tres difficile des que magic_quote est activé...

Tu crois quoi ? que suffit de lire un tut pour hacker tous les formulaire du net ?

Ha bon j'ai dis ça ! Je crois pas. Calme t'es hardeures.

[Zmx]

Hardeures, hardeuses ....

Ps: vu qu'on est pas dans le section prévu pour l'aide des epreuves, je pensais "naivement" que tu voulais utilisé ton tuto "on the web", et pas "on NC" donc a la rigueur, poste au bon endroit !!!

[Nebelmann]

Calme t'es hardeures.

Arrête un peu de causer comme ça aux gens, tu es en train de te faire détester de tout le monde...
Ce n'est pas en prenant les gens de haut que tu vas devenir mieux qu'un boulet.

[Nms]

Le problème Fantastikos c'est que la plupart des sites sont protégés contre les injections SQL basiques tels que celles qui sont présentées dans le tuto que tu as lu. En effet, sur la plupart des serveurs, PHP est servi avec magic_quotes_gpc qui a le bon goût (ou le mauvais suivant le côté où on se place) d'ajouter des backslash \ devant les quotes et les doubles quotes. Un simple quote ' devient donc \' et un double " devient \" . Ceci empêche la plupart  des injections SQL car cela empêche de "sortir" des champs entre quotes (ou double quotes) de la requête : un quote précédé de \ sera considéré comme le caractère ' par SQL alors que si tu mets une simple quote, tu peux dans une requête comme SELECT * FROM users WHERE login='$login' sortir de l'espace normalement réservé à $login (entre les quotes) et donc modifier la requête comme bon te semble.

Le seul bon conseil que je puisse te donner est de tester par toi même sur un script fait par tes soins (en local ou sur un hébergeur comme free par exemple en n'oubliant pas que free a magic_quotes_gpc d'activé) : tu te fais un formulaire qui envoie les données vers un script php qui contient une requête SQL. Si là où tu testes, les magic_quotes sont activées, tu verras que tu ne pourras rien faire, en revanche si soit tu les désactives soit tu mets un stripslashes sur les données au début du script alors là tu pourras tester les effets de l'injection SQL. Et entraine toi sur les requêtes SQL, voir ce qu'il est possible de faire, car il faut bien maitriser le langage SQL pr arriver à qqchose. Prend ton tps surtout, ce n'est pas trivial lorsqu'on débute.