A voir également:
- Requêtes SQL et '
- Requête sql date supérieure à ✓ - Forum Programmation
- Logiciel sql - Télécharger - Bases de données
- Sql replace plusieurs valeurs - Forum Programmation
- Ce réseau est bloqué en raison de plaintes d'abus non traitées concernant un comportement malveillant. cette page vérifie si c'est bien un humain qui envoie les requêtes et non un robot venant de ce réseau ✓ - Forum Réseaux sociaux
- Récupération serveur sql - Télécharger - Gestion de données
1 réponse
sebsauvage
Messages postés
32893
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 659
31 mars 2005 à 22:23
31 mars 2005 à 22:23
ALERTE ALERTE - gros risque de sécurité détecté.
Ton application peut être attaquée par SQL-Injection.
(Courant quand on débute).
Il est impératif de doubler toute apostrophe trouvée dans une chaîne avant de l'insérer dans une requête SQL.
Regarde: Tu as fait un champ de saisie que tu met dans MaVariable et l'insère dans la requête SQL. Ok.
Maintenant imagine ce qui se passe si je tape ça dans ton champ:
Ton programme va insérer ce que j'ai tapé dans ta requête SQL, qui devient:
J'ai réussi à effacer le contenu de ta table !
En doublant les apostrophes, le problème est en principe réglé.
Exemple:
et là ça passe.
Ton application peut être attaquée par SQL-Injection.
(Courant quand on débute).
Il est impératif de doubler toute apostrophe trouvée dans une chaîne avant de l'insérer dans une requête SQL.
Regarde: Tu as fait un champ de saisie que tu met dans MaVariable et l'insère dans la requête SQL. Ok.
Maintenant imagine ce qui se passe si je tape ça dans ton champ:
'; delete MaTable; select '
Ton programme va insérer ce que j'ai tapé dans ta requête SQL, qui devient:
Select * from MaTable where MonChamp = ' '; delete MaTable; select ' '
J'ai réussi à effacer le contenu de ta table !
En doublant les apostrophes, le problème est en principe réglé.
Exemple:
l'accentdevient --->
l''accent
et là ça passe.
31 mars 2005 à 23:22
je voudrais faire une req paramétrée en usant 2 variable d'un formulaire.
En faite j'ai unez table de personnel et je voudrais afficher les pers inscrits entre 2 dates entrées à partire du clavier donc je voudrais que l'utilisateur entre ces données et le clique sur un boutton déclanche l'execution de la req.
(une autre méthode que lafction entre...et(between)).
je travailsous access2000
Merci
31 mars 2005 à 23:32
Access c'est pas mon truc.
1 avril 2005 à 08:29
Merci beaucoup