L’injection de code SQL
L'injection de code SQL est une plaie classique et majeure des applications web. Si vous ne connaissez pas le principe, l'explication suivante devrait suffire.
Un trop grand nombre de développeurs réutilisent tel-quels les valeurs récupérées dans les champs de formulaires ou dans les paramètres d'une requête HTTP GET. Et bien trop souvent ces valeurs sont réutilisées pour construire des requêtes SQL vers une base de données relationnelle. L'injection de code SQL consiste alors à passer des valeurs détournées de façon à modifier la requête SQL. Le grand classique est de contourner des vérifications, insérer des données, ou supprimer purement et simplement des tables.
Petit exemple : considérons un formulaire pour se connecter à une application. La requête SQL qui vérifie l'authentification peut alors se construire comme ceci :
select * from USERS where LOGIN = ? and PASSWORD_MD5 = ?
Le grand classique consiste à construire cette chaîne par concaténation :
$sql = "select * from USERS where LOGIN =" + $login + "and PASSWORD_MD5 =" + $password_md5;
Si ce code vous semble familier, réfléchissez à ce qui se passe si un visteur saisi admin'-- pour valeur de $login :
select * from USERS where LOGIN = admin'-- and PASSWORD_MD5 = blablabla
Autrement dit, la requête se retrouver fermée brutalement et le reste de celle-ci est passé en commentaires par '--'. Dans bien des cas, la vérification dans l'application consiste à vérifier si la requête a retourné une réponse, ce qui sera sûrement le cas ici, et le visiteur va alors se retrouver administrateur sans pour autant connaître le mot de passe de admin !
J'ai trouvé cet excellente référence sur l'injection de code SQL. Je vous encourage vivement à la lire.
Sachez enfin qu'en utilisant un framework web solide et agile, vous pouvez vous simplifier grandement la vie. Pour Rails, vous pouvez suivre ce guide sur la sécurité. Ainsi plutôt que de faire un :
Email.find_all "owner_id = 123 AND subject = '#{@params['subject']}'"
préférez cette forme qui protège des injections SQL :
Email.find_all [ "owner_id = 123 AND subject = ?", @params['subject'] ]
Related posts:
- Ce que mon shell révèle …
- GeoPortail
- Donnez votre avis sur la F1
- Le couteau suisse des bases de données
- Excuse pour absence à un TP
Enjoy this article?
Info
Twitter Updates
Error: Twitter did not respond. Please wait a few minutes and refresh this page.
Archives
- July 2010 (1)
- June 2010 (1)
- April 2010 (1)
- March 2010 (1)
- February 2010 (2)
- January 2010 (2)
- December 2009 (8)
- November 2009 (7)
- October 2009 (1)
- September 2009 (3)
- August 2009 (4)
- July 2009 (2)
- June 2009 (3)
- May 2009 (3)
- April 2009 (5)
- March 2009 (7)
- February 2009 (4)
- January 2009 (5)
- December 2008 (8)
- November 2008 (8)
- October 2008 (13)
- September 2008 (8)
- August 2008 (5)
- July 2008 (7)
- June 2008 (9)
- May 2008 (6)
- April 2008 (7)
- March 2008 (4)
- February 2008 (10)
- January 2008 (17)
- December 2007 (8)
- November 2007 (10)
- October 2007 (9)
- September 2007 (13)
- August 2007 (9)
- July 2007 (9)
- June 2007 (18)
- May 2007 (28)
- April 2007 (17)
- March 2007 (8)
- February 2007 (10)
- January 2007 (14)
- December 2006 (8)
- November 2006 (8)
- October 2006 (8)
- September 2006 (17)
- August 2006 (12)
- July 2006 (7)
- June 2006 (15)
- May 2006 (2)
- April 2006 (11)
- March 2006 (5)
- February 2006 (6)
- January 2006 (12)
- December 2005 (3)
- November 2005 (12)
- October 2005 (6)
- September 2005 (11)
- August 2005 (13)
- July 2005 (12)
- June 2005 (16)
- May 2005 (19)
- April 2005 (20)
- March 2005 (19)
- February 2005 (26)
- January 2005 (44)