Discussion :

[Jayrome]

Salut,

Je me pose une question depuis pas mal de temps. Ayant lu un tutorial sur les injections SQL, j'ai décidé d'essayer en local. Donc, je me demande pourquoi une requête telle que

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
SELECT * FROM `test` WHERE `id` = 5; DELETE FROM `test`;

me renvoie une erreur syntaxique à la "ligne 1 près de DELETE FROM". N'est-ce pas possible d'effectuer plusieurs requêtes les unes à la suite de l'autre?

Merci

[Jester]

Ça fonctionne sous la console mysql en tout cas, après ça dépend probablement de votre interface de connexion à mysql.

[Antoun]

N'est-ce pas possible d'effectuer plusieurs requêtes les unes à la suite de l'autre?

Pas avec mysql_query, ni même mysqli_query. Avec mysqli_multi_query, oui.

[Sivrît]

Le driver JDBC n'accepte pas non plus les requêtes multiples par défaut, même si on peut le configurer pour, justement pour limiter la portée des injections de SQL. Il semblerait qu'il ne soit pas le seul.

Cela dit, même si on ne peut pas insérer des requêtes complètes, à partir du moment où le serveur supporte les sous requêtes toute injection est très dangereuse