Discussion :

[julien.63]

salut,
Quel est le risque d'injection SQL dans une application ASP.NET utilisant un menu déroulant comme paramètre d'une requête?

Par exemple, sur la page aspx, il y a un control de ce genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<asp:DropDownList ID="dd1" runat="server">
<asp:ListItem Value="toto">toto</asp:ListItem>
<asp:ListItem Value="titi">titi</asp:ListItem>
<asp:ListItem Value="tata">tata</asp:ListItem>
    </asp:DropDownList>

et dans le code behind

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

string query = String.Format("Select * From myTable where user like '%{0}%'",dd1.SelectedItem.Value);

Je sais que c'est mal de concaténer la requête ainsi. C'est promis, je ne le fais pas. C'est juste par curiosité. Est ce qu'un tel code est vraiment sujet au injection SQL?

Merci de vos éclairages