Discussion :

[bigball]

Bonjour ,

j'ai réellement très peur car il y a peu de temps j'ai un "hacker" qui m'a écri a révélé une erreur sql dans mon forum , je l'ai pourtant mi à jour et il s'agit de la dernière version ( Invision Power Board ) , je sais pas quoi faire il a surement accès à la base de donnée et c'est porteur de consequences ...

Alors voilà la faille qu'il m'a montré :
http://www.***********.com/forum/index.php?act=SF&amp;act=http://www.google.fr/webhp%3f<script>alert("******");</script>%22%27

ça me fait ça :

mySQL query error: SELECT * FROM ibf_topics
WHERE forum_id in () and approved='1' and (heart='1') ORDER BY last_post DESC

mySQL error: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near ') and approved='1' and (heart='1') ORDER BY last_post DESC' at
mySQL error code:
Date: Monday 17th of July 2006 02:39:15 AM

------------
Et là je me dis comment corriger l'erreur ? je veux corriger la "faille" avant que l'histoire ne s'ébruite et que je ne demande les changements de mots de pass , comme ça je pourrais dire "situation maitrisée"

[Sergejack]

Bonjour ,

j'ai réellement très peur car il y a peu de temps j'ai un "hacker" qui m'a écri a révélé une erreur sql dans mon forum , je l'ai pourtant mi à jour et il s'agit de la dernière version ( Invision Power Board ) , je sais pas quoi faire il a surement accès à la base de donnée et c'est porteur de consequences ...

Alors voilà la faille qu'il m'a montré :
http://www.***********.com/forum/index.php?act=SF&amp;act=http://www.google.fr/webhp%3f<script>alert("******");</script>%22%27

ça me fait ça :

mySQL query error: SELECT * FROM ibf_topics
WHERE forum_id in () and approved='1' and (heart='1') ORDER BY last_post DESC

mySQL error: You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near ') and approved='1' and (heart='1') ORDER BY last_post DESC' at
mySQL error code:
Date: Monday 17th of July 2006 02:39:15 AM

------------
Et là je me dis comment corriger l'erreur ? je veux corriger la "faille" avant que l'histoire ne s'ébruite et que je ne demande les changements de mots de pass , comme ça je pourrais dire "situation maitrisée"

Ce ne serait pas plutôt une erreur suite à un mauvais paramètre ?
Ton explication ne montre pas la possibilité de SQL injection.

[bigball]

merci , alors c'est une arnaque , mdr , je te remercie car que ce serait-il passé si j'avais demandé le changement de mots de passes ( ce serait devenu un secret d'Etat )

Encore merci