Discussion :

[iamslyper]

Bonjour,

Voila, j'ai créé un fonction json_decode(jsonstring) dans le langage de progra créé par ma boite(proche du java). Et je galere un peu pour échapper les éléments suivants : " , : [ { ] } qui serait dans une valeur.

Par ex le json suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

{"curl":"https://graph.facebook.com/fql?q={"all+friends":"SELECT+uid2+FROM+friend+WHERE+uid1=me()+LIMIT+10","my+name":"SELECT+name+FROM+user+WHERE+uid=me()"}&access_token=AAAEIbuxSbCcBAFr1x9mm001GAGECQR5z5OJejjN2exQUwQG79l4ZAgl2jFnQd29lCiqPgJRJyXhG5TpuPN9p5NfPt2vGAVrfBYyeln"}

(l'url ne fonctionnera pas au cas ou..)
Donc on peux voir ici dans le champs "value", il faudrai échapper les éléments : ", { } :

Une idée ?

[RomainVALERI]

1) Quel champ value ?

2) Ou se déroule l'échappement dont tu parles ? en JS ou dans ton langage pseudo-java ?

[Bovino]

A priori, ce sont juste les mauvaises imbrication de quote qui posent problème...

Mais sinon, tu envoies vraiment une requête SQL via JavaScript ?

[SpaceFrog]

C'est exactement ce que je me suis dit à la lecture du code !!!
Voir des requetes en clair dans du js ... c'est juste ... suicidaire ?

[iamslyper]

ben non. En gros, j'ai repris le SDK de facebook(qui permet de faire des requêtes vers facebook) et j'ai créé un fonction qui va gerer les multi query. elle crée l'url avec les query placé en parametre. donc une url de type :

https://graph.facebook.com/fql?q={"all+friends":"SELECT+uid2+FROM+friend+WHERE+uid1=me()+LIMIT+10","my+name":"SELECT+name+FROM+user+WHERE+uid=me()"}&access_token=AAAEIbuxSbCcBAFr1x9mm001GAGECQR5z5OJejjN2exQUwQG79l4ZAgl2jFnQd29lCiqPgJRJyXhG5TpuPN9p5NfPt2vGAVrfBYyeln

Ensuite, je balance le lien vers une autre méthode qui s'occupe de lancer le stream vers facebook, et facebook me renvoie la réponse sous le format JSON.

Pour des raisons administratif/codage/pratique, j'ai décider de rajouter au bout du JSON que je récupère l'url qui a servi a obtenir cette réponse.

et donc, c'est ce qui fait que dans mon JSON, je vais avoir l'url qui possède des { , : }

Et le champs value, c'est l'url.(le champs key serait "curl"(ce qui est logique non ?

[iamslyper]

et il n'y a pas de mauvais imbrication de quote, c'est juste qu'il ya des quotes qui se retrouve dans les key/valeurs et qui sont interpreté par mon code comme si c'était des séparateur...

[Willpower]

ma réponse va p-ê sembler stupide mais ... et l'antislash ?

[iamslyper]

C'est bon, avant de coller l'URL dans mon JSON, je le passe dans une fonction escape() qui remplace les éléments bizarre par des %25 ....

[SpaceFrog]

ben non. En gros, j'ai repris le SDK de facebook(qui permet de faire des requêtes vers facebook)

Ha oui donc si facebook est codé comme une passoire c'est une raison valable d'en faire autant

[iamslyper]

ouè mais cette json n'est pas transférée en public. elle reste dans le serveur

[SpaceFrog]

ça reste une porte d'injection de mysql ...
Que se passe-t-il si je choppe l'adresse de la page et que je lance une requete delete ou dump ?

[thelvin]

C'est pas du SQL, c'est du FQL, le langage d'interrogation de l'API Facebook -_-°.
J'ignore s'il y a un risque d'injection FQL (j'en doute,) mais s'il y en a un, il est pour la BDD Facebook et c'est Facebook qui l'impose.

Et j'ajoute que cette requête est très certainement transmise au public, ce qui ne pose aucun problème vu qu'aucune donnée sensible ne s'y trouve (et que la réponse ne contient que des choses que les gens qui peuvent la regarder ont le droit de voir.)

Concentrons-nous plutôt sur le vrai problème (je dois avouer que moi, j'ai toujours pas compris la question.)