Deux articles intéressants, signalé par Chris Shiflett, traitent des problèmes de sécurité qui dépassent l'utilisation de mysql_escape_string. On l'aborde aussi dans le livre 'Sécurité PHP 5 et MySQL 5'. En bref, la fonction de protection n'est pas suffisante pour pallier à tous les problèmes.
En fait, certains caractères spéciaux ne sont pas protégés par cette fonction. C'est le cas des % et _, qui sont utilisés dans les expressions LIKE. Certaines clauses utilisent simplement des nombres, ou encore des parenthèses.
L'article de webappsec propose d'ailleurs une liste de vecteurs d'injections intéressants pour vos propres tests d'intrusion.
- addslashes() vs mysql_escape_string()
- The Unexpected SQL Injection
- The Unexpected SQL Injection (Chris Shiflett)
- addslashes() Versus mysql_real_escape_string()
En fait, certains caractères spéciaux ne sont pas protégés par cette fonction. C'est le cas des % et _, qui sont utilisés dans les expressions LIKE. Certaines clauses utilisent simplement des nombres, ou encore des parenthèses.
L'article de webappsec propose d'ailleurs une liste de vecteurs d'injections intéressants pour vos propres tests d'intrusion.
- addslashes() vs mysql_escape_string()
- The Unexpected SQL Injection
- The Unexpected SQL Injection (Chris Shiflett)
- addslashes() Versus mysql_real_escape_string()
-
Auteur
-
Origine
