En général, en PHP on utilise les casts pour éviter ce genre de blague, par exemple :
if (isset($_GET['id'])) $get_id = (int)($_GET['id']); ++ On Feb 27, 2010, at 2:26 PM, Greg wrote: > Bonjour, > > cette nuit, et ce matin on a subit des attaques par injection SQL depuis une > IP au Canada, dans le but de récupérer des informations. Type: > WHERE id='.$_GET['val'] > qui devient: > WHERE id=0/**/or/**/1=1/**/order/**/by/**/1-- > Yen a qui vont prendre cher lundi .... > > On va porter plainte, et la police va faire son travail... mais j'aimerais > prendre les devants et essayer d'obtenir des infos. > J'ai déjà fais un scan (nmap -sS -A -T4) qui ne me retourne aucune infos, > tout est filtré: je pense donc que c'est vraiment lui derrière, et pas un PC > zombie ni un proxy ni un équipement réseau. > > Est-ce que vous avez des techniques permettant d'en savoir un peu plus sur > Kevin ? > > -- > Greg > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/