Bonjour, je me suis fait hacker un module par SQL injections, depuis j'ai une page blanche même coté admin j'ai fait une mise à jour du module via l'admin de xoops & toujours pareils comment je peut régler le problème & cela a t'il pu endommagé ma base de donnée ou autre car pour l'instant hormis le fait que je ne puisse plus y accéder c'est tout ce que j'ai constaté je m'attends au pire !

Le problème vient du fait que j'ai ajouté une form de recherche sur un champs que j'ai rajouté dans ma base.

En mode Debug j'ai aucune erreur ?

L'iP (68.180.228.31) correspond à Yahoo, le hacker c'est caché derrière ?

Je viens de me pencher sur la requête il se trouve qu'elle n'as pas l'air modifié le seul hic c'est que le nom demander dans la requête est composé d'une apostrophe & d'après ce que dit Wikipédia :
L'apostrophe indique la fin de la zone de frappe de l'utilisateur

Donc c'est ça qui aurait créer le bug, quand à la requête je l'ai construit d'après un exemple fournis par le site : openclassrooms.com bien bravo leur site je ne suis pas prêt de le recommander !

Les blocks concernant mon module s'affichent bien sur toutes les page du site ainsi que les données mais l'accès au module en tant qu'utilisateur anonyme & enregistré est impossible même via le panneau d'administration xoops ???

Page blanche sans aucune erreur, franchement je sèche, comment je peut corriger le problème ?

Encore moi

J'ai étudié ma requête & je ne comprends pas trop le pourquoi du comment car elle me paraît bien construite quand je la compare à d'autres existante dans des fichiers de module qui fonctionne, voila comment elle est :



Et la valeur récupéré par title : M'balo

Dès fois ça peut aider, vous comme moi

L'injection trouvé par le module Protector n'as rien avoir avec mon problème, idem pour la requête SQL

Le problème viens de mon fichier langage/french/main.php
Quoi je ne sait pas encore car j'ai juste mis une ancienne version & ça fonctionne. Je pense d'un oublie ou un ajout d'apostrophe ('), virgule, ...

Par contre ce qui est suspect c'est le fichier qui me donne une page blanche, il fonctionne en local(serveur) le module est accessible mais pas en distant ?

Conclusion la page blanche & la non accessibilité d'un module peut provenir d'un fichier de langage du à une faute de frappe !

Re... je viens de comprendre que le module Protector avait bien fait son travail en bloquant l'injections SQL du au fait que ma requête était mal faite. La doc de PHP me dit qu'il faut que j'utilise ceci mysqli_real_escape_string pour éviter le problème mais vu que je suis un peu nullos & fatigué pouvez vous me donner la formule pour constituer ma requête avec mysqli_real_escape_string d'après les informations que je vous ai fournit dans mes post précédents comme ça je pourrais allez dormir un peu

Merci

Salut,

test ceci pour voir !!!!
la syntaxe est :
mysql_real_escape_string et non pas, mysqli_real_escape_string


Voir aussi : mysql_real_escape_string

mysql_real_escape_string et mysqli_real_escape_string sont obsolètes (sans compter des failles de sécurité dans mysql_real_escape_string
Utilise plutôt filter_input comme ci-dessous :


PS : ta requête sql devrai se présenter comme ci-dessus. C'est à dire qu'il faut être sûr des variables qu'on injecte. Et Supprimer tout ce qui n'est pas utile, si pas d'année précisée, on ne met pas dans la requête une recherche dessus. Par contre si le champs année est obligatoire alors il faut bloquer l'exécution avant la requête (histoire de ne pas avoir de sollicitation de la BDD pour rien).

Grand merci Montuy ça fonctionne, je vais étudier d'un peu plus votre code afin d'assimiler, pour ne pas faire un copier coller bêtement.

Si j'avais pris comme fonction mysqli_real_escape_string() c'est parce que dans wikipédia SQL Injection il me recommandais ça donc j'ai cherché dans la doc de PHP
& non pas mysql_real_escape_string car c'est devenus obsolète !

Wikipedia Citation :

Montuy je ne sait pas où vous avez appris, mais encore merci.

Montuy = 10
Doc PHP = 5
Wikipédia = 0

& DragonTribal merci quand même

Citation :

Merci pour l'infos, je ne savais pas...

Citation :

Apprit tout seul, je programme depuis l'age de mes 9 ans, sa va faire 31 ans cette année. Mais c'est surtout la fréquence, je passe mes journées à coder et pour rester à jour, ce métier nécessite une fréquente remise à niveau (un codeur est vite périmé si il ne se maintient pas à jour) et comme mon expertise ce porte sur la sécurité et l'optimisation, j'ai pas trop le choix (heureusement que c'est un plaisir de le faire)