En général, en PHP on utilise les casts pour éviter ce genre de blague, par
exemple :
if (isset($_GET['id']))
$get_id = (int)($_GET['id']);
++
On Feb 27, 2010, at 2:26 PM, Greg wrote:
> Bonjour,
>
> cette nuit, et ce matin on a subit des attaques par injection SQL depuis une
> IP au Canada, dans le but de récupérer des informations. Type:
> WHERE id='.$_GET['val']
> qui devient:
> WHERE id=0/**/or/**/1=1/**/order/**/by/**/1--
> Yen a qui vont prendre cher lundi ....
>
> On va porter plainte, et la police va faire son travail... mais j'aimerais
> prendre les devants et essayer d'obtenir des infos.
> J'ai déjà fais un scan (nmap -sS -A -T4) qui ne me retourne aucune infos,
> tout est filtré: je pense donc que c'est vraiment lui derrière, et pas un PC
> zombie ni un proxy ni un équipement réseau.
>
> Est-ce que vous avez des techniques permettant d'en savoir un peu plus sur
> Kevin ?
>
> --
> Greg
>
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
