Commentaires sur : [Tutoriel] – SQL Injection Avancée (Partie 2) http://www.mcherifi.org/hacking/se-proteger-contre-sql-injection-partie-2.html Another Web Developper Blog! Fri, 23 Jul 2010 16:02:06 +0000 http://wordpress.org/?v=2.9.2 hourly 1 Par : Sécurité : Injection SQL (liste d’outils) « GNU-It http://www.mcherifi.org/hacking/se-proteger-contre-sql-injection-partie-2.html/comment-page-1#comment-237 Sécurité : Injection SQL (liste d’outils) « GNU-It Tue, 13 Jul 2010 12:19:09 +0000 http://www.mcherifi.org/?p=408#comment-237 [...] loin, un tutoriel en trois parties destiner à mieux comprendre l’injection SQL (partie 1, partie 2, partie [...] [...] loin, un tutoriel en trois parties destiner à mieux comprendre l’injection SQL (partie 1, partie 2, partie [...]

]]> Par : Mohammed CHERIFI http://www.mcherifi.org/hacking/se-proteger-contre-sql-injection-partie-2.html/comment-page-1#comment-229 Mohammed CHERIFI Fri, 11 Jun 2010 13:34:54 +0000 http://www.mcherifi.org/?p=408#comment-229 @0x1337 Non, seul l'utilisateur root peut lire le fichier /etc/shadow Ceci est possible seulement si le processus mysql est exécuté en tant que super utilisateur (root) @0×1337 Non, seul l’utilisateur root peut lire le fichier /etc/shadow
Ceci est possible seulement si le processus mysql est exécuté en tant que super utilisateur (root)

]]> Par : 0x1337 http://www.mcherifi.org/hacking/se-proteger-contre-sql-injection-partie-2.html/comment-page-1#comment-228 0x1337 Fri, 11 Jun 2010 12:32:33 +0000 http://www.mcherifi.org/?p=408#comment-228 Nice tuto bien structuré et synthétisé ! La question qui se pose est ce un attaquant peut faire un Privilege Escalation des droits du daemon mysql pour exécuter plus d'exploits, lire par exemple le /etc/shadow ??!!! Merci Nice tuto bien structuré et synthétisé ! La question qui se pose est ce un attaquant peut faire un Privilege Escalation des droits du daemon mysql pour exécuter plus d’exploits, lire par exemple le /etc/shadow ??!!!

Merci

]]> Par : issw http://www.mcherifi.org/hacking/se-proteger-contre-sql-injection-partie-2.html/comment-page-1#comment-166 issw Fri, 12 Mar 2010 22:25:26 +0000 http://www.mcherifi.org/?p=408#comment-166 Merci Mohammed c'est un bon tuto, Merci Mohammed c’est un bon tuto,

]]> Par : omdafer http://www.mcherifi.org/hacking/se-proteger-contre-sql-injection-partie-2.html/comment-page-1#comment-165 omdafer Fri, 12 Mar 2010 20:47:10 +0000 http://www.mcherifi.org/?p=408#comment-165 Bonjour, sympa la fonction mais si l'utilisateur innocent rentre dans un formulaire de contact (par exemple) les mots "ma selection", "fromage", "union européenne", etc.. alors sa requete ne sera pas pris en compte et le destinataire ne recevra jamais le mail. Donc exit pour le $_POST. $_arrays[] = $_GET; $_arrays[] = $_COOKIE; $_arrays[]= $_SERVER; //Pour tout ce qui est URL etc.. $_injection = array('union','order by','select','from','where',' and '); foreach($_arrays as $_array) { foreach($_array as $_key => $_value){ foreach($_injection as $_word){ if(ereg($_word, strtolower($_value))) { header("HTTP/1.1 404 Not Found"); echo file_get_contents("errors/404.php"); exit(); } } } } unset($_arrays); Bonjour,

sympa la fonction
mais si l’utilisateur innocent rentre dans un formulaire de contact (par exemple) les mots « ma selection », « fromage », « union européenne », etc..
alors sa requete ne sera pas pris en compte et le destinataire ne recevra jamais le mail.
Donc exit pour le $_POST.

$_arrays[] = $_GET;
$_arrays[] = $_COOKIE;
$_arrays[]= $_SERVER; //Pour tout ce qui est URL etc..

$_injection = array(‘union’,'order by’,’select’,'from’,'where’,’ and ‘);
foreach($_arrays as $_array) {
foreach($_array as $_key => $_value){
foreach($_injection as $_word){
if(ereg($_word, strtolower($_value)))
{
header(« HTTP/1.1 404 Not Found »);
echo file_get_contents(« errors/404.php »);
exit();
}

} } }
unset($_arrays);

]]> Par : sp00m` http://www.mcherifi.org/hacking/se-proteger-contre-sql-injection-partie-2.html/comment-page-1#comment-161 sp00m` Tue, 02 Mar 2010 06:59:00 +0000 http://www.mcherifi.org/?p=408#comment-161 Merci à toi Mohammed! Pour ceux que ça intéresse, voilà la fonction que j'ai développé à partir de ce cours pour protéger mes sites : $_arrays[] = $_GET; $_arrays[] = $_POST; $_arrays[] = $_COOKIE; $_injection = array(' union ', ' order by ', ' select ', ' from ', ' where '); foreach($_arrays as $_array) foreach($_array as $_key => $_value) foreach($_injection as $_word) if(ereg($_word, strtolower($_value))) header('Location: index.php'); unset($_arrays); Merci à toi Mohammed! Pour ceux que ça intéresse, voilà la fonction que j’ai développé à partir de ce cours pour protéger mes sites :

$_arrays[] = $_GET;
$_arrays[] = $_POST;
$_arrays[] = $_COOKIE;
$_injection = array(‘ union ‘, ‘ order by ‘, ‘ select ‘, ‘ from ‘, ‘ where ‘);
foreach($_arrays as $_array)
foreach($_array as $_key => $_value)
foreach($_injection as $_word)
if(ereg($_word, strtolower($_value))) header(‘Location: index.php’);
unset($_arrays);

]]> Par : fenoril http://www.mcherifi.org/hacking/se-proteger-contre-sql-injection-partie-2.html/comment-page-1#comment-153 fenoril Mon, 15 Feb 2010 22:19:32 +0000 http://www.mcherifi.org/?p=408#comment-153 Un grand merci de la part d'un développeur débutant Un grand merci de la part d’un développeur débutant

]]> Par : Mohammed CHERIFI http://www.mcherifi.org/hacking/se-proteger-contre-sql-injection-partie-2.html/comment-page-1#comment-147 Mohammed CHERIFI Fri, 22 Jan 2010 13:48:58 +0000 http://www.mcherifi.org/?p=408#comment-147 Je pense que non, sinon il n'y a pas que $_SERVER['HTTP_X_FORWARDED_FOR'], il exsiste aussi $_SERVER['PC_REMOTE_ADDR'] pour mac, et $_SERVER['HTTP_CLIENT_IP'] =) Je pense que non, sinon il n’y a pas que $_SERVER['HTTP_X_FORWARDED_FOR'], il exsiste aussi $_SERVER['PC_REMOTE_ADDR'] pour mac, et $_SERVER['HTTP_CLIENT_IP'] =)

]]> Par : Io http://www.mcherifi.org/hacking/se-proteger-contre-sql-injection-partie-2.html/comment-page-1#comment-146 Io Thu, 21 Jan 2010 23:47:00 +0000 http://www.mcherifi.org/?p=408#comment-146 Iop, possible de spoofer $_server['remote_addr']? Iop, possible de spoofer $_server['remote_addr']?

]]> Par : boh http://www.mcherifi.org/hacking/se-proteger-contre-sql-injection-partie-2.html/comment-page-1#comment-131 boh Mon, 21 Dec 2009 19:08:26 +0000 http://www.mcherifi.org/?p=408#comment-131 ca fiat plaisir de voir des gents qui savent ce qu'ils font je vois des tutoriel des crackerz hhhh quand je fait la comparison sa fait rire merci bien mcherifi ca fiat plaisir de voir des gents qui savent ce qu’ils font
je vois des tutoriel des crackerz hhhh
quand je fait la comparison sa fait rire
merci bien mcherifi

]]>