@Astrolabe Effectivement, pourquoi faire simple quand on peut faire compliqué. Merci pour la démonstration. La probabilité de l’exploitation d’une quelconque faille tombe à vraiment peu de chose... Ça m’apprendra à voir le mal partout.
@KARELLEN Le script posté me semble tout à fait bénin, il manque l’indentation mais je n’y vois rien de malicieux. Il filtre visiblement le HTML renvoyé par le serveur d’AgoraVox en enlevant les messages de certains auteurs. Par contre il ne marchera pas, il y a visiblement une erreur de syntaxe : BeautifulSoup(js [...]
@Xenozoid Pas avec une requête du type de celle dont on parle. Ce sont des requêtes qui ne font qu’interroger la base de données, elles ne la modifient pas.
@pemile Laquelle des deux phrases n’est pas sérieuse pour vous ?
La première, elle se constate : tous les systèmes qui journalisent, journalisent sélectivement l’activité de leurs visiteurs, et certains journalisent peu (absence de journalisation des accès individuels par exemple). Collecter des journaux de plusieurs giga-octets ne me semble pas plus sérieux que de journaliser peu, tout est une question de pertinence de ce qu’on choisit d’enregistrer. Si ce n’est pas ce qu’on vous enseigne à l’école, j’en suis bien désolé, mais je maintiens mon avis sur la question, fondé sur l’observation de ce qui se passe et sur mon expérience. Et il existe des cas d’exploitation de failles SQL qui ne provoquent pas d’erreur de l’interpréteur PHP, hormis pendant les essai-erreurs nécessaires à leur découverte.
La seconde, c’est une opinion, qui ne parle pas de légalité mais de moralité.