Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Injections SQL. C'est pas fini.

Avatar for Lionel Chanson Lionel Chanson
July 08, 2014
Programming
0
340

Injections SQL. C'est pas fini.

On dit des injections sql qu'elles sont mortes avec le twist. A contrario des nostalgiques du twist, aucun développeur n'a créé des clubs de rencontres les amateurs d'injection sql.

Mais pourquoi cette vulnérabilité, malgré une amélioration des outils, reste-t-elle présente ?

Une petite démonstration en live (qui n'est donc pas dans le pdf) pour apprendre comment ça marche et comment on se protège.

Avatar for Lionel Chanson

Lionel Chanson

July 08, 2014
Tweet

More Decks by Lionel Chanson

See All by Lionel Chanson
L'agilité c'est du marketing
Avatar for Lionel Chanson ioo
0
370
La sécurité pour les noobs
Avatar for Lionel Chanson ioo
0
370

Other Decks in Programming

See All in Programming
CSC307 Lecture 02
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
1
750
愛される翻訳の秘訣
Avatar for Kishikawa Katsumi kishikawakatsumi
3
370
안드로이드 9년차 개발자, 프론트엔드 주니어로 커리어 리셋하기
Avatar for Seungmin 마량 maryang
1
150
Flutter On-device AI로 완성하는 오프라인 앱, 박제창 @DevFest INCHEON 2025
Avatar for JaiChangPark itsmedreamwalker
1
190
Findy AI+の開発、運用におけるMCP活用事例
Avatar for starfish719 starfish719
0
2.1k
Claude Codeの「Compacting Conversation」を体感50%減! CLAUDE.md + 8 Skills で挑むコンテキスト管理術
Avatar for Kazuki Murahama kmurahama
1
710
リリース時」テストから「デイリー実行」へ!開発マネージャが取り組んだ、レガシー自動テストのモダン化戦略
Avatar for goataka (GOAMI Takaaki) goataka
0
160
JETLS.jl ─ A New Language Server for Julia
Avatar for abap34 abap34
2
470
The Past, Present, and Future of Enterprise Java
Avatar for ivargrimstad ivargrimstad
0
650
Vibe codingでおすすめの言語と開発手法
Avatar for uyuki uyuki234
0
160
AIエージェントの設計で注意するべきポイント6選
Avatar for Har1101 har1101
6
3k
Combinatorial Interview Problems with Backtracking Solutions - From Imperative Procedural Programming to Declarative Functional Programming - Part 2
Avatar for Philip Schwarz philipschwarz
PRO
0
130

Featured

See All Featured
Save Time (by Creating Custom Rails Generators)
Avatar for Garrett Dimon garrettdimon
PRO
32
1.9k
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
Avatar for Szymon szymonslowik
1
870
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
10
780
Building Experiences: Design Systems, User Experience, and Full Site Editing
Avatar for Michelle Schulp Hunt marktimemedia
0
360
Paper Plane (Part 1)
Avatar for Katie Cordina Lindsey katiecoart
PRO
0
2.9k
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
33
1.5k
Side Projects
Avatar for Sacha Greif sachag
455
43k
Introduction to Domain-Driven Design and Collaborative software design
Avatar for Kenny Baas-Schwegler baasie
1
540
Sam Torres - BigQuery for SEOs
Avatar for Tech SEO Connect techseoconnect
PRO
0
160
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
225
10k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
128
55k
The B2B funnel & how to create a winning content strategy
Avatar for Katarina Dahlin katarinadahlin
PRO
0
230

Transcript

  1. INJECTION SQL C'EST PAS FINI

  2. MANQUE D'ÉDUCATION À LA SÉCURITÉ Des développeurs. De tous les

    acteurs d'un projet.

  3. UNE REQUÊTE QUI DONNE DES RÉSULTATS extension:php mysql_result $_GET Juin

    2013 : env 60 000 Octobre 2013 : 93 731 Juillet 2014 : 150 383
  4. None

  5. BONUS COMBO : 357 RÉSULTATS extension:php pdo_query $_GET

  6. NE PAS REPRODUIRE.

  7. PREPARE STATEMENT $ s t m = $ p d

    o - > p r e p a r e ( " s e l e c t * f r o m a r t i c l e w h e r e i d = : i d " ) ; $ s t m - > b i n d P a r a m ( " : i d " , $ _ G E T [ " i d " ] )

  8. AUTRES SOLUTIONS PROCÉDURES STOCKÉES INPUT SANITAZATION / DATA VALIDATION

  9. QUESTIONS ?

  10. MERCI @LIOCHAN