instruction avec syntaxe partielle php

[harominc]

bonjour,

j'ai une question dont le but est de mieux comprendre le langage php et de m’améliorer en sécurité informatique. soit l'instruction suivante qui est un exemple d'injection sql:

$query = sprintf("SELECT * FROM my_table WHERE login = '%s' AND password = MD5('') OR 1=1 #')", mysql_real_escape_string($_POS T['login']), $_POST['password'] );

il y a un caractère commentaire '#' qui annule (sauf erreur de ma part) tout le reste de l'instruction.
ce que je ne comprend pas c'est comment est ce que cette instruction fonctionne alors qu'il lui manque des élements de syntaxe (il manque : "); à la fin) et qu'il n'y a aucune variable attribuée au %s.

merci
-----

[harominc]

Bonjour,

j'aimerais aussi savoir si le php est sensible aux sauts de lignes.
Je sais qu'en javascript, quand on écrit une instruction, le point-virgule de fin n'est pas obligatoire si l'instruction qui suit se trouve sur la ligne suivante. Mais ca me parait bizarre parceque en fonction de si on ouvre un fichier .php avec un éditeur de texte ou un autre, les sauts de lignes ne sont pas les mêmes: j'ai par exemple un fichier php, si je l'ouvre avec sublimtext (ce avec quoi je l'ai écrit) alors le code est bien organisé, mais si je l'ouvre avec bloc note alors il est affiché sur 3 lignes seulement.

[Ikhar84]

Très honnêtement je ne sais si on peut répondre ici à ce genre de question, d'autant plus en voyant vos fils récemment ouverts.
J'attend la confirmation d'un modo...

[Bluedeep]

j'ai par exemple un fichier php, si je l'ouvre avec sublimtext (ce avec quoi je l'ai écrit) alors le code est bien organisé, mais si je l'ouvre avec bloc note alors il est affiché sur 3 lignes seulement.

Vous êtes sur que vous ne vous emmêlez pas les pinceaux entre les fin de ligne CR et CR/LF (qui est le cas général sur les systèmes Windows).

Dans ce cas PHP n'aurait rien à voir là dedans.

Commencez par configurer vos éditeur de texte correctement pour utiliser les fins de lignes adaptées à votre système cible.

[A voir en vidéo sur Futura]

[harominc]

D'accord Ikhar84 je comprend, mais il faut comprendre un système et ses vulnérabilités pour pouvoir le sécuriser.

bluedeep: mais on écrit pas manuellement les caractères \r\n dans un fichier texte quand on veut aller à la ligne, on appuie sur la touche entrée et je crois bien que le résultat est le même.

[Bluedeep]

bluedeep: mais on écrit pas manuellement les caractères \r\n dans un fichier texte quand on veut aller à la ligne, on appuie sur la touche entrée et je crois bien que le résultat est le même.

Relisez ......

[harominc]

salut bluedeep,

en effet javais pas réglé les fin de ligne pour windows et du coup maintenant l'affichage sur blocnote est normal. Je me demande quelque chose, ca pose pas de problème de compatibilité entre les serveurs web (pour les fins de ligne dans les codes sources) le fait que les caractères LFCR soient différents d'un OS a un autre?

merci

[Bluedeep]

que les caractères LFCR soient différents d'un OS a un autre?

Les caractères ne sont pas différents, du moins dans les systèmes en ASCII; c'est la convention de fin de ligne pour un fichier texte qui l'est. CR pour Linux & Mac-OS, CR+LF pour Windows.

Plus d'infos : https://fr.wikipedia.org/wiki/Fin_de_ligne