On Sat, Feb 27, 2010 at 02:26:21PM +0100, Greg wrote:
Bonjour,
cette nuit, et ce matin on a subit des attaques par injection SQL
depuis une IP au Canada, dans le but de récupérer des informations.
Type:
WHERE id='.$_GET['val']
qui devient:
WHERE id=0/**/or/**/1=1/**/order/**/by/**/1--
Le Saturday 27 Feb, vers 21:53, Cedric Blancher exprimait :
Le samedi 27 février 2010 à 14:26 +0100, Greg a écrit :
WHERE id='.$_GET['val']
Sinon, on trouve aussi des framework très bien pour développer des
applis PHP plus potables que la moyenne. Genre:
On trouve aussi des framework
Il y a une nuance et pas des moindres entre Hacker et Kevin de passage.
Si tu n'as pas le temps de relire tout le code, en tant que responsable
de l'aspect sécurité, tu pourrais au moins exécuter quelques outils
d'analyse de base (have a look http://sectools.org/) plutôt que de faire
impasse sur
bonne solution de securite (matos + personnes)
- garder confiance et rester positive and bee cool
A+
- Message d'origine -
De : Greg
Envoyés : 28.02.10 07:16
À : frnog@FRnOG.org
Objet : Re: [FRnOG] Attaque par injections SQL
La différence ici c'est que le gars ne s'est pas contenté de faire
Cela ne sert a rien de lancer un post sur ce forum si tu ne tiens pas
comptes des avis qui te sont donnes, je te rappelle que la plus part
des personnes inscrites ici sont des PROS de l'info, le probleme que
tu decris s'est encore produit des millions de fois dans le monde
depuis que j'ai
On 28/02/2010 19:08, marc celier wrote:
Greg,
arrete de t'acharner sur cela, comme te l'ont explique plusieurs personnes
deja c'est une perte de temps.
On dirait que tu debutes en informatique et que tu decouvres ce phenomene ou
tu n'as absolu rien d'interessant a foutre au boulot et
Bonjour,
Pour informations, au Canada tu a tout pleins d'acces Wifi ouvert sans
restriction a presque tout les coins de rue,
il faut être idiot pour faire un acte malveillant depuis son accès Internet
perso.
Bonne chance pour tes recherches.
Christophe
Le 27 février 2010 14:26, Greg
Bonjour,
On 02/27/10 14:26, Greg wrote:
Bonjour,
cette nuit, et ce matin on a subit des attaques par injection SQL depuis
une IP au Canada, dans le but de récupérer des informations. Type:
WHERE id='.$_GET['val']
qui devient:
WHERE id=0/**/or/**/1=1/**/order/**/by/**/1--
Yen a qui vont
Salut,
Le 27 févr. 2010 à 14:26, Greg a écrit :
Bonjour,
cette nuit, et ce matin on a subit des attaques par injection SQL depuis une
IP au Canada, dans le but de récupérer des informations. Type:
WHERE id='.$_GET['val']
qui devient:
WHERE id=0/**/or/**/1=1/**/order/**/by/**/1--
Yen a
Bonjour,
Le 27/02/10, Christophe Gasmirekca...@gmail.com a écrit :
Bonjour,
Pour informations, au Canada tu a tout pleins d'acces Wifi ouvert sans
restriction a presque tout les coins de rue,
il faut être idiot pour faire un acte malveillant depuis son accès Internet
perso.
Dans ce cas
On 02/27/10 16:44, Rémi Bouhl wrote:
Bonjour,
Le 27/02/10, Christophe Gasmirekca...@gmail.com a écrit :
Bonjour,
Pour informations, au Canada tu a tout pleins d'acces Wifi ouvert sans
restriction a presque tout les coins de rue,
il faut être idiot pour faire un acte malveillant depuis son
Salut,
Ton nmap ne donnerai de résultat que si l'adresse IP est fixe. D'autant
qu'effectivement, le Canada est empli de points d'accès libres !
J'ai lu dans les réponses c'est le fournisseur de l'AP qui est
responsable ... quelqu'un a vérifié que c'était le cas avec le droit
Canadien ? Perso,
Bonjour
Je crois qu'en dehors du débat sur la loi et sur le wifi et le machin chose
au Canada, il faut surtout
souligner ce que Xavier a dit, à savoir que Easyflirt fait assez de fric
pour embaucher des mecs un peu
consciencieux mais c'est pas le cas, et si tu crois que Lundi la super
police va
Bonjour,
Si vous portez plainte des qu'un bot essaye de
l'injection SQL, vous n'avez pas fini, c'est tres courant .
Le plus sur contre ce type d'attaques reste la
formation des programmeurs a la securité informatique .
En 2010 je considere comme criminel de mettre un
argument recupéré sur
En général, en PHP on utilise les casts pour éviter ce genre de blague, par
exemple :
if (isset($_GET['id']))
$get_id = (int)($_GET['id']);
++
On Feb 27, 2010, at 2:26 PM, Greg wrote:
Bonjour,
cette nuit, et ce matin on a subit des attaques par injection SQL depuis une
IP au
Christophe Gasmi
Pour informations, au Canada tu a tout pleins d'acces Wifi ouvert sans
restriction a presque tout les coins de rue, il faut être idiot pour
faire un acte malveillant depuis son accès Internet perso.
+1; pareil ici
Michel.
---
Liste de diffusion du
Le 27/02/2010 17:57, Stephen a écrit :
En général, en PHP on utilise les casts pour éviter ce genre de blague, par
exemple :
if (isset($_GET['id']))
$get_id = (int)($_GET['id']);
++
If faudrait presque faire les 2 :
a) protéger son code comme indiqué,
b) se faire filtrer les URL
Salut,
Porter plainte est une perte de temps - pour toi _et_ pour la police.
Quel crime tu va reporter ? Que penses-tu que la police ferait si tu reportais
que quelqu'un a toqué a ta porte et regarde si la porte été ferme mais repart
sans rien faire de plus.
Le niveau de compétence
Le samedi 27 février 2010 à 14:26 +0100, Greg a écrit :
WHERE id='.$_GET['val']
Franchement, lire du sale code comme ça en 2010, ça fait saigner les
yeux... Si vous avez tu temps, au lieu de le perdre à balancer des nmap,
se pencher sur l'amélioration de la sécurité de votre code me semblerait
Salut,
Il y a aussi symfony (framework web php objet) et son plugin intégrant
doctrine (orm php object).
Il permet aussi d'importer le schema de la bdd en classes php5 (du reste
j'imagine qu'il n'est pas le seul, mais il fait ça plutôt bien, pourvue que
la db soit bien faite...).
Bref, vive
La différence ici c'est que le gars ne s'est pas contenté de faire
mumuse avec notre site, il a essayé de voler des informations, ce n'est
pas juste un bot de passage. Si je veux creuser plus loin, c'est pour
essayer de savoir si c'est un concurrent. On subit régulièrement des
attaques, des
On Sat, 2010-02-27 at 16:21 +0100, Arthur Fernandez wrote:
sinon, sécurises tes sites...
http://fr.php.net/manual/fr/function.mysql-real-escape-string.php
t'y gagneras en temps, en énergie et en efficacité.
il est a noter que d'autres interfaces de bases de données proposent des
trucs plus
22 matches
Mail list logo
