Ne cherchez pas ! Je l'ai fait pour vous : http://sebsauvage.net/files/20130127_sfr_business_sql_security.jpg

et si on les utilise, il se passe quoi?

Selon moi c'est un bon moyen pour qu'au contraire les gens utilisent un de ces mots (ou le tentent).
Même ceux qui n'y connaissent rien essaieront peut-être de taper un de ces mots "pour voir ce qui va se passer"...

J'avais vu la même chose, mais pour une banque américaine...

Plus besoin de chercher les failles, les développeurs nous disent directement où elles sont :D

Grandiose! :D

"Messieurs les voleurs, veuillez ne pas prendre la clef qui est cachée sous le paillasson, merci d'avance."

Un petit cours accélérer d'injection SQL. 'Sont sympas chez SFR. ^^

Ho une fonction sql_escape belge :D

Merci de ne pas écrire "DROP TABLE users;" dans votre commentaire.

Ils feraient mieux d'utiliser OpenOffice qui est un pare-feu gratuit. En plus dans OpenOffice on peut taper SELECT et UNION.

Le plus effrayant c'est la page www.sfr.fr/phpmyadmin/

Accès restreint. Interdiction de se connecter à la base de données avec le couple d'identifiant root:azerty123 sans autorisation de l'administrateur

Gné, sûre ?

...

Ah pardon, je n'avais pas vu le pseudo ... lol

Erreur 404 chez moi :/

Mdr à cause d'un pebkac, ils ont bloqué le compte root momentanément.

Oui, sûrement ont-ils remarqué que la journée porte ouverte c'était pas très bon :)

Bravo SFR, c'est du très haut niveau !

Quand je lis le message d'erreur, je comprends "Le champ commentaire n'est pas protégé contre les injections SQL, et au lieu de corriger notre code, on a interdit certains mots. À toi de jouer pour réussir une injection SQL sans utiliser ces mots ! Si tu gagnes, tu as le droit de faire ce que tu veux avec notre base".

Mais pour bloquer un compte, il faut être root, non ? Comment vont-ils le débloquer ?

Bon ben si c'est demandé gentiment :)

On aura bientôt un message: "en raison d'un problème technique, le site à du être remis à une ancienne version. nous nous excusons pour les éventuels désagrément"

Tiens, a chambrer les belges ont se fait downvote ici (pas la première fois que je le remarque).
Moi jerry (et je ris aussi quand y a des blagues sur les français ou autres)

Ne cherchez surtout pas "DROP DATABASE;". S'il-vous-plaît T_T.

C'est l'inverse du virus belge ?

Il y a vraiment des gens qui ont cru que le lien donné plus haut pouvait être valide? SFR a beau être un gros pebkac dans ce cas là, faut quand même pas pousser et croire qu'il laisse toutes les portes grandes ouvertes !

Par contre le port 22 n'est pas fermé.

(Attends de voir combien de personnes auront tenté une connexion SSH)

Wohoho, PEBKAC contrôle la presse, les mairies et les FAI. Nous avons le pouvoir de contrôler le monde...

Donc tu a volontairement donné un faux exemple discréditant une entreprise, tout en donnant son nom?

Désolé de te l'apprendre mais ça s'appelle de la diffamation et c'est répréhensible par la loi.

Clem, efface vite mon commentaire avant que l'armée d'avocats de SFR me traîne au tribunal pour humour déplacé !

Il y a toujours sudo.

Y'a qu'une façon de le savoir. Il se trouve à quel endroit, ce formulaire ?

En vrai, ça ne s'appelle pas une vulnérabilité annoncée au grand jour, c'est très probablement pour éviter au client de se faire dégager comme un malpropre par un WAF (certes relativement mal configuré, du coup), qui lui détecterait automatiquement ce genre de mots-clés.

C'est sale, mais j'ose imaginer que c'est plus la manifestation d'un rempart supplémentaire un peu trop violent que celle d'une incompétence notoire.

Wouah... faut le voir pour le croire.

Messieurs ? Et les dames alors ?

Non Shirluban, ça s'appelle de l'humour, et ça n'est pas interdit par la loi.
Par ailleurs, une diffamation n'est punissable que si elle entraîne une réelle perte de considération/image pour la cible, et si elle arrive à le prouver. Sinon on met 90% des utilisateurs de smartphone en taule, 70% pour cracher sur Apple et le reste pour cracher sur Google.

Qui ici va oser mettre un tel message sur son site perso juste pour troller les visiteurs ?

Oups ! Désolé! Voilà en effet un flagrant délit de misogynie de ma part...

Eh oui, et l'égalité des sexes alors ? La parité dans les professions du cambriolage doit être respectée, d'abord!
Faudrait voir à considérer la gente féminine à sa juste valeur, d'abord !
Une femme peut être tout aussi malhonnête qu'un homme, d'abord ! (qui à dit "et même plus" ? Non ce n'est pas drôle ! J'en vois qui ricanent là au fond...)

;P

c'est un moyen comme un autre de se prémunir contre les injections de code sql XD

<dictature type="nazisme" mode="grammar">

La gent féminine, non d'un petit bonhomme.

</*Geist fait un pied de nez à W3C>

@Shirluban : Soit c'est répréhensible, soit c'est puni par la loi. Pas les deux dans la même phrase.

Et même si techniquement, c'en est, le fait que Link précise à trois heures d'écart que ce n'est pas vrai ne donne pour ainsi dire aucune chance à une éventuelle plainte d'aboutir à quelque chose.
L'intérêt d'avoir des juges, c'est qu'on n'a pas à appliquer la loi textuellement et sourdement. Summum jus, summa injuria, disait, je crois, Cicéron.

@Mini : Attention, la plupart des utilisateurs de smartphones pratiquent l'injure plutôt que la diffamation, faute de savoir de quoi ils causent.

Oh-oh! Bien vu!
J'aurai au moins échappé à Grammar Nazi. En tout cas il a fait des émules, je vois. ;)

Nom d'un petit bonhomme !!!

Oui mais comment faire quand tu as des commandes SQL dans ton vrai nom ?
http://xkcd.com/327/