Re: injection SQL

[MF Debian List <mfdebianlist@gmail.com>]

On 18/02/2011 14:18, Pierre Allken-Bernard wrote:
> Bonjour,
> J'ai un petit site web perso (Apache, Debian).
> Je précise que je connais tout ça extrêmement superficiellement (et que je ne suis pas informaticien).
> J'ai reçu un mail d'un inconnu qui me dit que mon site est "vulnérable", "injection SQL", "accès
> à mon identifiant SQL", etc.
> J'ai cru à un spam, mais comme le français était correct,
> j'ai répondu pour voir, et comme j'ai reçu une réponse, je me dit que
> c'est peut être une vraie personne qui m'a écrit :) voire que mon site est peut être "vulnérable".
> Mais plutôt que de prendre conseil avec cette personne (inquiétante et peu bavarde),
> je me tourne vers cette aimable liste :
>
> Qu'ai mal fait (ou pas fait) dans la configuration de Apache ?
>
> (je précise que, grosso modo, je n'ai rien fait dans la configuration de Apache)
>
> Merci d'avance.
>
> PS. Dois-je stopper Apache le temps que vous me répondiez ? ;)
>
>    
Bonjour,
Les injections SQL ne viennent pas de la configuration d'Apache mais du 
code de l'application que fait tourner ton apache.
Si tu as juste un site web avec du contenu statique (en gros, si tu n'as 
pas de base de données derrière), tu ne peux être sensible aux 
injections SQL.
Alors utilise-tu une base de données (certainement Mysql ) ?

Comme solution de repli temporaire (Vaut mieux toujours amélirer le 
code), tu peux installer  un waf : libapache-mod-security