Différences

Ci-dessous, les différences entre deux révisions de la page.

--- langages:php:astuces [08/12/2014 16:28]
127.0.0.1 modification externe
+++ langages:php:astuces [16/05/2015 16:29] (Version actuelle)
julp [PDO/MySQL : limiter la casse en cas d'injection]
@@ Ligne 16: / Ligne 16: @@
 ====== PDO/MySQL : limiter la casse en cas d'injection ======
-Si vous n'exploitez pas la possibilité de pouvoir exécuter plusieurs requêtes en même temps, j'entends :
+Déplacé, mis à jour et développé sur [[http://www.julp.fr/blog/posts/13-pdo-et-mysql-limiter-les-degats-en-cas-d-injection-sql]]
-<code php>$bdd->query('SELECT * FROM foo; SELECT * FROM bar');</code>
-Alors vous devriez sérieusement envisager de compiler l'extension pdo_mysql sans cette option en modifiant le code source de ext/pdo_mysql/mysql_driver.c en commentant ces lignes :
-<code c>#ifdef CLIENT_MULTI_STATEMENTS
-        |CLIENT_MULTI_STATEMENTS
-#endif</code>
-Parce que le jour où vous avez une injection de ce type :
-<code php>$bdd->query('SELECT * FROM users WHERE id = ' . $_GET['id']);</code>
-Si l'attaquant entre, par exemple, dans l'URL (je l'écris en non urlencodé par facilité) :
-<code>?id=1;DROP TABLE users</code>
-Les effets d'une injection comme celles-ci seront particulièrement dévastateur. Par défaut, avec l'ancienne extension mysql, ce genre d'injection n'est pas possible car cette option est désactivée.

julp