PC SOFT

FORUMS PROFESSIONNELS
WINDEVWEBDEV et WINDEV Mobile

Accueil → WEBDEV 2024 → Protéger les injection SQL avec SQLExec
Protéger les injection SQL avec SQLExec
Débuté par Jeremie MARCHAND, 09 juin 2017 12:01 - 8 réponses
Membre enregistré
71 messages
Popularité : +3 (3 votes)
Posté le 09 juin 2017 - 12:01
Bonjour,

savez vous si il existe une solution pour protéger les injection SQL en utilisant exclusivement SQLExec et pas HexecuteRequêteSQL?

Merci de votre réponse
Posté le 12 juin 2017 - 16:42
Jeremie MARCHAND a exposé le 09/06/2017 :
Bonjour,

savez vous si il existe une solution pour protéger les injection SQL en
utilisant exclusivement SQLExec et pas HexecuteRequêteSQL?

Merci de votre réponse

---
Cet email a fait l'objet d'une analyse antivirus par AVG.
http://www.avg.com


Bonjour
peux tu m'expliquer ce que tu vois comme différence entre ces deux
focntions ?

concernant l'injection sql j'entends

Comment puis je faire de l'injection sql avec sqlexec ou
HexecuterequeteSQL ?
sachant que le code est dans le prog donc pas disponible.
A moins de lire ce code sql depuis un point d'entrée du site.
Membre enregistré
71 messages
Popularité : +3 (3 votes)
Posté le 12 juin 2017 - 18:04
Bonjour,

Je précise ma question, je souhaite me protéger des injections SQL, mais j'utilise seulement SQLExec.
Ainsi comment se protéger des injection SQL avec SQLExec?

Merci de votre retour
Posté le 12 juin 2017 - 20:13
tu appelle ca préciser la question ?

qu'est ce que tu as dis de nouveau par rapport au premier message ?

Le 6/12/2017 à 10:04 AM, Jeremie MARCHAND a écrit :
Bonjour,

Je précise ma question, je souhaite me protéger des injections SQL, mais
j'utilise seulement SQLExec.
Ainsi comment se protéger des injection SQL avec SQLExec?

Merci de votre retour
Membre enregistré
948 messages
Popularité : +30 (92 votes)
Posté le 13 juin 2017 - 04:42
Coucou,

The character ' is used because this is the character limiter in SQL. With ' you delimit strings and therefore you can test whether the strings are properly escaped in the targeted application or not. If they are not escaped directly you can end any string supplied to the application and add other SQL code after that.

The character ; is used to terminate SQL statements. If you can send the character ; to an application and it is not escaped outside a string (see above) then you can terminate any SQL statement and create a new one which leaves a security breach


WL Language gére ce cas de figure nativement .

--
Charly CanDo.
Forg en Nouvelle-Zélande ;-) - In üs we trust
Nasi Goreng en Indonesie ;-) - #oulouou
irc.freenode.net - ##pcsoft
Membre enregistré
71 messages
Popularité : +3 (3 votes)
Posté le 15 juin 2017 - 15:52
Merci à tous pour vos retours.

@Charly CANDO:
A ma connaissance le wlangage n'échappe pas nativement les chaînes via la fonction SQLExec.

Je viens de tester le cas:
SELECT uid FROM Users WHERE name = 'Dupont' AND password = '45723a2af3788c4ff17f8d1114760e62';
Avec Dupont';-- comme test d'injection et bim en plein dedans!!

Ainsi savez vous s'il y a des fonctions natives (genre "mysqli_real_escape_string") pas ces cas ou bien si je dois les développer par moi même.

Je sais que HexecuteRequêteSQL gère ces cas mais comment faire avec SQLExec (@Fabrice Harari :) )
Membre enregistré
2 566 messages
Popularité : +222 (260 votes)
Posté le 15 juin 2017 - 18:24
Bonjour,

A ma connaissance il n'y en a pas. Je pense qu'il faut développer...

--
Cordialement,

Philippe SAINT-BERTIN
Géode Informatique
Membre enregistré
71 messages
Popularité : +3 (3 votes)
Posté le 06 juillet 2017 - 11:51
Tout à fait Philippe,

J'ai eu la confirmation du support technique, qu'il fallait développer soi même cette partie de protection.
Membre enregistré
948 messages
Popularité : +30 (92 votes)
Posté le 06 juillet 2017 - 12:51
Ok, Au temps pour moi ;)

--
Charly CanDo.
Forg en Nouvelle-Zélande ;-) - In üs we trust
Nasi Goreng en Indonesie ;-) - #oulouou
irc.freenode.net - ##pcsoft