En effet, le " étant remplacé en ,円 et le ' en \', cela aurait donné :
INSERT INTO digital_contact ([...]) values ('', [...], '\\'); COMMANDE_A_EXECUTER();
Pour l'éxécution de multiples requêtes en PHP/MYSQL on est un peu dans la légende urbaine, c'est plus possible depuis des lustres, cf. la doc de PHP[1] :
mysql_query() sends a unique query (multiple queries are not supported) to the currently active database on the server that's associated with the specified link_identifier
Par contre :
Je ne reviens pas sur le commentaires de pasBill pasGates qui sont plus que pertinent.
Pour un expert en sécurité, le fait de pas savoir configuré PHP pour qu'il ne « leak » pas des infos sur le SI, ça fait mauvaise impression. C'est quand même pas compliqué de ne pas balancer les erreurs PHP au client mais de les stocker dans un fichier de log et de se les faire remonter par monitoring (au moins, maintenant on sait que le la DB c'est du MYSQL et qu'il y'a de fortes chances que le site soit codé à la mano => donc pas forcément audité et sujet a bugs).
Dernier point : la gestion des quotes dans les forms c'est un truc tellement trivial qu'il faut même pas être expert en sécurité pour savoir qu'on sait gérer ça correctement depuis au moins 12 ans. Supprimer les caractères un peu spéciaux, ça fait très amateur. ça fait un peu : « Je comprends pas ce que je fais mais j'ai trouvé une solution »
(Heureusement que LinuxFR ne supprime pas les caractères spéciaux de mon commentaire (et de son titre), sinon il ne ressemblerai plus à rien :) )
Comme le propriétaire du site lit ce journal, je lui conseille la doc[2] de PHP.
# "Oui" et "Non"
Posté par kolter (site web personnel, Mastodon) . En réponse au journal Faut-il avoir confiance dans Digital-Network ?. Évalué à 2.
INSERT INTO digital_contact ([...]) values ('', [...], '\\'); COMMANDE_A_EXECUTER();
Pour l'éxécution de multiples requêtes en PHP/MYSQL on est un peu dans la légende urbaine, c'est plus possible depuis des lustres, cf. la doc de PHP[1] :
mysql_query() sends a unique query (multiple queries are not supported) to the currently active database on the server that's associated with the specified link_identifier
Par contre :
Je ne reviens pas sur le commentaires de pasBill pasGates qui sont plus que pertinent.
Pour un expert en sécurité, le fait de pas savoir configuré PHP pour qu'il ne « leak » pas des infos sur le SI, ça fait mauvaise impression. C'est quand même pas compliqué de ne pas balancer les erreurs PHP au client mais de les stocker dans un fichier de log et de se les faire remonter par monitoring (au moins, maintenant on sait que le la DB c'est du MYSQL et qu'il y'a de fortes chances que le site soit codé à la mano => donc pas forcément audité et sujet a bugs).
Dernier point : la gestion des quotes dans les forms c'est un truc tellement trivial qu'il faut même pas être expert en sécurité pour savoir qu'on sait gérer ça correctement depuis au moins 12 ans. Supprimer les caractères un peu spéciaux, ça fait très amateur. ça fait un peu : « Je comprends pas ce que je fais mais j'ai trouvé une solution »
(Heureusement que LinuxFR ne supprime pas les caractères spéciaux de mon commentaire (et de son titre), sinon il ne ressemblerai plus à rien :) )
Comme le propriétaire du site lit ce journal, je lui conseille la doc[2] de PHP.
[1] http://php.net/manual/en/function.mysql-query.php
[2] http://www.php.net/manual/en/function.mysql-real-escape-stri(...)