Yop ! Ce tuto aura pour but de vous montrer les bases d'une requête SQL. Mieux comprendre pour mieux s'y prendre ! Imaginons une Base de données SQL contenant une table nommée "EnvyUS" Cette table posséde donc 3 colonnes ( columns ), et chacune de ces colonnes contient des Données. Code: select Colonne 1,Colonne 2 from EnvyUSCette requête retournera donc les données appartenant aux Colonnes 1 & 2 : Maintenant nous pouvons affiner notre requête : Code: select * from EnvyUS WHERE id = 1Traduction : Selectionne toutes les données provenant de la table EnvyUS où le champ id vaut 1 Ce genre de requête est très fréquent noteamment à travers une variable provenant de l'url ! http://www.fakesite.com/news.php?id=33 Nous remarquons la présence du paramètre get "id" et nous pouvons imaginer que c'est l'id de la NEWS qui est enregistrée dans la Table. La requête sera donc la suivante : Code:$id = $_GET["id"] select * from news where id = $idNous remarquons qu'ici la variable n'est pas vérifiée et qu'elle est récupérée telle quelle ce qui est la principale source d'une faille SQL. Reprenons l'url précedente : http://www.fakesite.com/news.php?id=33 La requête deviendra : Code:select * from news WHERE id=33Tant que l'id récupéré est valide, tout ce passera normalement. Cependant essayons avec cette url : http://www.fakesite.com/news.php?id=33' Une erreur apparait ! Code: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\'' at line 1A ce stade là, nous avons en notre possession un site faillible SQL !