Discussion :

[zax-tfh]

Salut,

merci de ta réponse, j'avais oublié de mettre à jour ce topic. En fait c'etait un probleme de droits sur la base. Il fallait que j'ajoute un Grant sur connect pour guest.

Par contre je me permet de rebondir sur le sujet en posant une autre question en rapport avec la premiere :
Quand j'ai fait mes recherches sur l'administration d'une base de données SQL Server Express, je n'ai pas réussi à trouver de tutoriel clair sur les droits et surtout comment manager un serveur sql express proprement (au niveau utilisateurs sql quoi). Aurais tu ça sous le coude à tout hasard ? car je pense qu'à l'heure actuelle la sécurité de mon site est plus que douteuse.

Merci

[Immobilis]

Je crois que la première chose à faire est de vérifier que le compte utilisé par l'internaute n'a que le droit de lire les tables qui permettent d'afficher ton site. Ce peut être juste une table sur une base de données. Le principe étant de ne pas donner plus de droits que le strict nécessaire. Cela peut être un peu long à paramétrer mais c'est important. Pour y parvenir il peut être préférable de passer par des rôles sur la base.

As-tu regardé sur le forum SQL? Tu peux aussi faire des recherches sur "Injection SQL" et passer les points en revue.

A+

[zax-tfh]

Pour les injections SQL, je n'ai pas ce problème car je passe par NHibernate qui échappe automatiquement les données.

Pour ce qui est de la sécurité, en gros, j'ai placé des droits pour les utilisateurs guest et public pour select, insert, update, delete et uniquement pour public le droit sur connect (qui était le probleme de ma question de départ).

Mais je dirais que pour ce qui est de la sécurité je parlais justement du comment on doit parametrer le serveur (doit-on ajouter un utilisateur spécial ? que doit-on parametrer au niveau serveur pour cela, comment gérer les droits sur une base pour cantoner l'utilisateur web dessus ? qui est l'utilisateur web ?) enfin bon tu vois des questions de base, auxquelles je n'arrive pas vraiment à trouver de réponse dans un document synthétique mais explicite.

je n'ai pas encore regardé le forum SQL pour le moment car je n'ai pas encore eu le temps mais je le ferais des que possible.
Merci encore

[SQLpro]

Pour ce qui est de la sécurité, en gros, j'ai placé des droits pour les utilisateurs guest et public pour select, insert, update, delete et uniquement pour public le droit sur connect (qui était le probleme de ma question de départ).

Donner des privilèges (on ne parle pas de droit) à Public ou guest est le meilleur moyen de pourrir sa sécurité. En effet guest est un utilisateur à défaut d'uthetification. Autrement dit toutle mmonde !!! Même chose pour public.
La sécurité est une affaire assez complexe a comprendre et en même temps assez simple à mettre en oeuvre. Comencez par lire le papier que j'ai fait à ce sujet : http://blog.developpez.com/sqlpro/p7...et-utilisateu/

Mais je dirais que pour ce qui est de la sécurité je parlais justement du comment on doit parametrer le serveur (doit-on ajouter un utilisateur spécial ? que doit-on parametrer au niveau serveur pour cela, comment gérer les droits sur une base pour cantoner l'utilisateur web dessus ? qui est l'utilisateur web ?) enfin bon tu vois des questions de base, auxquelles je n'arrive pas vraiment à trouver de réponse dans un document synthétique mais explicite.

je n'ai pas encore regardé le forum SQL pour le moment car je n'ai pas encore eu le temps mais je le ferais des que possible.
Merci encore

Oui, il faut créer au moins 1 utilisateur particulier par application, voir plusieurs. Passer par des rôles est une excellente façon de procéder. En sus utiliser les schémas SQL est le top !
Pour les schémma SQL, lire le papier que j'ai écrit : http://blog.developpez.com/sqlpro/p5...es-schema-sql/
A +

[zax-tfh]

Merci beaucoup SQLPro !!!!!! cela va m'etre d'une tres grande utilité !
Je ne cloture pas de suite, le temps que j'ingurgite tout ca et que j'aie un peu de recul