Kikoo,
voila j'ai une question en php (assez existentielle il faut dire) jvous remercie de prendre le temps de me repondre
-si j'ai une url du type  
www.cotcot.com/index.php?variablequelconque=pouetpouet
si je sais que dans index.php une connection au server mysql est faite, est il possible dexecuter une commande sql en la mettant dans la $variablequelconque ?
je mexplique : est il possible de faire www.cotcot.com/index.php?variableq [...] 034;DELETE champ FROM table LIMIT 0,1" );
 
voila c'etait ma question
j'ai essayé et ca marche pas, alors ya til un moyen , si oui lequel ?
merci mes petits cheris

bin ça dépend fortement de ce que tu fais de ta variable quelconque
 
si tu fais
 
$Query = mysql_query ("SELECT $mavariablequelconquenoncontroléeetsansqsuotes" ) ça va forcément foirer
 
si tu fais
 
 $Query = mysql_query('marequetetoutecon';
 
et include ('/monrep/'.$mavariable.'.php'
 
ça va déjà limiter les dégats possibles

 
mettre la requete totalement et sous cette forme non c'est impossible
 
et faire qqchose de ce genre est dangereux

 
pourquoi impossible si tu encode correctement l'url y a pas de raison que ça marche pas.
 
par contre, oui, c'est dangereux... et même très dangereux...

 
drop database trucmuch
 
on a des cas ici n'est ce pas?    
 
et non y a pas de raison que ca marche pas, par contre MySQL limite à 1 query par appel pour raison de sécurité donc pas question de "hacker" à la warlord pour faire 2 query en une, par contre foutre un " OR 1=1" oui et ca peut causer des problèmes de sécu assez grave  

 
quand je dis directement c'est selon son exemple www.cotcot.com/index.php?variableq [...] 034;DELETE champ FROM table LIMIT 0,1" );
 
bien sur que c'est possible si c'est bien encodé mais l'interet de faire ce truc je le pige pas trop hormis donner la possiblité à qq1 de tout niker

L'intérêt pourrait être de faire un clone de phpMyAdmin
 
Il a pas dit ce qu'il voulait faire, ne lui jetons pas des pierres tout de suite  

moi je dis juste que c'est possible, mais qu'il faut faire gaffe à ce qu'on fait
parce que c quand même une belle porte ouverte

en fait j'en ai besoin paske je fais des challenge de hack sur un site (ca mapprend donc a coder en passant) et donc pas pour hacker qqun..
mais vous reponses sont mitigées et flous, pouvez vous meclairez plus sur la facon de realiser ca ? (par exemple en ecrivant ce qui faut ecrire dans la variable)
merci et souvenez vous que je fais de mal a personne !