Les injections SQL

Contexte

Dans le cadre de leur formation d'ingénieur, les élèves de troisième année de l'ESIPE sont amenés à faire un exposé technique devant le reste de la promotion et doivent ensuite réaliser le pendant écrit de cette présentation sous forme de site Web.

Le sujet traité ici est l'injection SQL, l'exploitation d'une des failles de sécurité les plus dangereuses pour une application reposant sur une base de données (un site web par exemple). Cet exposé (et donc ce site) a été réalisé par Sylvain RODON.

Vous trouverez l'ensemble des présentations à l'adresse suivante: http://igm.univ-mlv.fr/~dr/expose.php.

Objectif

Cet exposé explique ce que sont les injections SQL, ce qui les rend possibles dans une application donnée, comment les exploiter, et finalement, comment tester une application et se prémunir de l'injection SQL.

Le but étant de convaincre un lecteur de l'importance de cette faille et des dommages qu'elle peut entrainer pour que lors d'un futur développement il garde bien en tête les notions abordées dans cet exposé.

Accueil

• Bienvenue

Introduction

• Pourquoi s'y intéresser ?

Principes

• Définition
• Scenario normal
• Entrée non vérifiée
• Les risques

Exploitation

• Application "cobaye"
• Injections classiques
• Injections à l'aveuglette

Protection

• Tester l'existant
• Corriger le code
• Bonnes pratiques

Conclusion

• En résumé
• Pour aller plus loin
• Quizz