Ce forum est maintenant fermé, seule cette archive statique reste consultable.
 Page :   1  2
Page Suivante
Auteur Sujet :

PHP besoin d'aides, conseils, etc... :)

n°72412
Ashe
reenignE esreveR
Posté le 20-10-2010 à 13:59:57  
 

Reprise du message précédent :
[fixed]$stmt = $conn->prepare( 'UPDATE user SET login = ?, password = ?, name = ?, firstName = ?, email = ?%2

mood
Pub
Posté le 20-10-2010 à 13:59:57  
 

n°72413
Ashe
reenignE esreveR
Posté le 20-10-2010 à 13:59:57  
 

[fixed]$stmt = $conn->prepare( 'UPDATE user SET login = ?, password = ?, name = ?, firstName = ?, email = ?%2

n°72414
Ashe
reenignE esreveR
Posté le 20-10-2010 à 13:59:57  
 

[fixed]$stmt = $conn->prepare( 'UPDATE user SET login = ?, password = ?, name = ?, firstName = ?, email = ?%2

n°72415
LostSoul
Belgian Beer Forever (en slip)
Posté le 20-10-2010 à 14:04:45  
 

oulà le flood :p un ptit bouton qui rebondit ?


---------------
Le cheval, c'est bon, mangez-en!  
[ www.in-wonderland.net | www.start64.com | www.majorgeeks.com | updt-bdnq ]
n°72416
Ashe
reenignE esreveR
Posté le 20-10-2010 à 14:04:53  
 

Ben tiens, un bon exemple : ce site gere tres mal les injections, apparemment :D
edit: non c'est juste mon texte qui a pas ete apprecie
edit2: vais retenter :D


Message édité par Ashe le 20-10-2010 à 14:05:16

---------------
pcx360 | Binary Genetics | Dreaming Prophet
“Entropy isn’t what it used to be.”
n°72417
Ashe
reenignE esreveR
Posté le 20-10-2010 à 14:06:06  
 

[fixed]$stmt = $conn->prepare( 'UPDATE user SET login = ?, password = ?, name = ?, firstName = ?, email = ?, level = ?

n°72418
Ashe
reenignE esreveR
Posté le 20-10-2010 à 14:06:06  
 

[fixed]$stmt = $conn->prepare( 'UPDATE user SET login = ?, password = ?, name = ?, firstName = ?, email = ?, level = ?

n°72419
Ashe
reenignE esreveR
Posté le 20-10-2010 à 14:06:06  
 

[fixed]$stmt = $conn->prepare( 'UPDATE user SET login = ?, password = ?, name = ?, firstName = ?, email = ?, level = ?

n°72420
Ashe
reenignE esreveR
Posté le 20-10-2010 à 14:06:06  
 

[fixed]$stmt = $conn->prepare( 'UPDATE user SET login = ?, password = ?, name = ?, firstName = ?, email = ?, level = ?

n°72421
Ashe
reenignE esreveR
Posté le 20-10-2010 à 14:06:06  
 

[fixed]$stmt = $conn->prepare( 'UPDATE user SET login = ?, password = ?, name = ?, firstName = ?, email = ?, level = ?

n°72422
Ashe
reenignE esreveR
Posté le 20-10-2010 à 14:06:06  
 

[fixed]$stmt = $conn->prepare( 'UPDATE user SET login = ?, password = ?, name = ?, firstName = ?, email = ?, level = ?

n°72423
LostSoul
Belgian Beer Forever (en slip)
Posté le 20-10-2010 à 14:11:00  
 

Fail :p
 
EDIT: ceci dit j'ai bien pigé qu'il y a un truc correct qui est $conn->prepare(' ... requête...')
et que tu fais les bind dans l'ordre après et que les binds sont typés c'est ca ?


Message édité par LostSoul le 20-10-2010 à 14:12:32

---------------
Le cheval, c'est bon, mangez-en!  
[ www.in-wonderland.net | www.start64.com | www.majorgeeks.com | updt-bdnq ]
n°72424
Ashe
reenignE esreveR
Posté le 20-10-2010 à 14:28:30  
 

waip


---------------
pcx360 | Binary Genetics | Dreaming Prophet
“Entropy isn’t what it used to be.”
n°72425
LostSoul
Belgian Beer Forever (en slip)
Posté le 20-10-2010 à 14:42:15  
 

paske là le machin qu'il copie-colle ca me fait songer à des requêtes SQL écrites en VB dans les années fin '90 par là :sweat:  
(Sans compter que le jour où il doit pour une sombre raison délocaliser toutes les requêtes 'ailleurs' pour des raisons de portabilité / compatibilité / autres, il est un peu pwned)


---------------
Le cheval, c'est bon, mangez-en!  
[ www.in-wonderland.net | www.start64.com | www.majorgeeks.com | updt-bdnq ]
n°72426
Ashe
reenignE esreveR
Posté le 20-10-2010 à 14:46:52  
 

Bah meme en VB, ADO supporte les parametres avec un ? comme ca


---------------
pcx360 | Binary Genetics | Dreaming Prophet
“Entropy isn’t what it used to be.”
n°72427
Naunaud128
Crawling Up A Hill
Posté le 20-10-2010 à 14:48:54  
 

Pas mal ce forum :o
(sinon, pas préparer ses requêtes c'est mal)


---------------
Let the changes in
n°72428
LostSoul
Belgian Beer Forever (en slip)
Posté le 20-10-2010 à 14:51:12  
 

Ashe a écrit :

Bah meme en VB, ADO supporte les parametres avec un ? comme ca


 
Chépas, je me rappelle avoir vu des tas de requêtes codées par concaténation de morceaux de chaînes comme ça (je faisais pas de VB, d'ailleurs j'accédais même pas à des DB à l'époque)
 
EDIT: j'viens de tomber là dessus par hasard, ca pourra ptet servir à qqun
http://www.snapfiles.com/get/quickphp.html


Message édité par LostSoul le 20-10-2010 à 15:48:22

---------------
Le cheval, c'est bon, mangez-en!  
[ www.in-wonderland.net | www.start64.com | www.majorgeeks.com | updt-bdnq ]
n°72583
misterakm
Posté le 12-01-2011 à 21:24:35  
 

JlS666 a écrit :

Yop!
 
je reviens vers vous pour une erreur (probable) de syntaxe dans une requête mysql... voilà ma requête :
 
"UPDATE user SET
login='".$_POST['loginToModify']."',
password='".$_POST['passwordToModify']."',
name='".$_POST['nameToModify']."',
firstName='".$_POST['firstNameToModify']."',
email='".$_POST['emailToModify']."',
level='".$_POST['userLevelList']."'
WHERE pk_user ='".$_POST['idToModify']."'";
 
je cherche mais je ne sais pas où mon erreur se situe...


 
En tous cas, si tu laisses ta requête comme ça, tu vas te prendre une injection SQL :whistle: ! Tu récupères des informations reçus de $_POST, tapées dans un formulaire.
Imagine maintenant que nameToModify contienne un truc méchant du style '(SELECT password from user WHERE login = admin) ...' en fonction de ta requête, si elle n'est pas préparée et échappée correctement, tu t'exposes.
 
(Note: l'exemple donné sert uniquement d'illustration, pour les techniques précises, je vous laisse utiliser Google :p)

n°72584
charlydk
The power of Tiret...
Posté le 12-01-2011 à 21:32:47  
 

Spa comme si t'étais 3 mois en retard et qu'on ne le lui avait pas déjà dit...  :sarcastic:

 

EDIT: ya qd même des gens motivés pour s'inscrire juste pour ça  :p

Message cité 1 fois
Message édité par charlydk le 12-01-2011 à 21:33:27

---------------
FERMETURE DU FORUM MATBE  => retrouvons-nous sur http://www.iwyt.net  :)
n°72585
misterakm
Posté le 13-01-2011 à 10:41:27  
 

charlydk a écrit :

Spa comme si t'étais 3 mois en retard et qu'on ne le lui avait pas déjà dit...  :sarcastic:
 
EDIT: ya qd même des gens motivés pour s'inscrire juste pour ça  :p


 
1) Même 1 an en retard, si cela peut lui permettre d'éviter une injection SQL, c'est tout bénéf pour lui (entre temps, il aura eu le temps de finir son projet et aura le temps de se soucier des injections car c'est en général dans cet ordre-là que les gens procèdent). De plus, j'ai bien relu et cela ne lui a pas été présenté correctement... donc j'ai jugé utile de reformuler tout ça brièvement.
 
2) Je ne me suis pas inscrit "juste pour ça" :sarcastic:.

n°72586
charlydk
The power of Tiret...
Posté le 13-01-2011 à 11:17:54  
 

Bienvenue sur le forum alors  :d


---------------
FERMETURE DU FORUM MATBE  => retrouvons-nous sur http://www.iwyt.net  :)
n°72594
Ashe
reenignE esreveR
Posté le 14-01-2011 à 14:21:24  
 

(forcement que ca lui a pas ete presente correctement, le forum a un bug au niveau des injections qui empeche de poster le message :D)


---------------
pcx360 | Binary Genetics | Dreaming Prophet
“Entropy isn’t what it used to be.”
n°72595
misterakm
Posté le 14-01-2011 à 17:12:50  
 

charlydk a écrit :

Bienvenue sur le forum alors  :d


 
Merci :o !
 

Ashe a écrit :

(forcement que ca lui a pas ete presente correctement, le forum a un bug au niveau des injections qui empeche de poster le message :D)


 
Justement :D il faut expliquer sans attaquer le pauvre forum qui n'a (quasi?) plus de modérateurs :o ...

n°72596
LostSoul
Belgian Beer Forever (en slip)
Posté le 14-01-2011 à 17:58:45  
 

sisi y'a des modos mais seulement dans la section divers :sol:


---------------
Le cheval, c'est bon, mangez-en!  
[ www.in-wonderland.net | www.start64.com | www.majorgeeks.com | updt-bdnq ]
 Page :   1  2
Page Suivante