Discussion :

[maparè]

Bonjour,

Je voudrais savoir comment je peux réécrire ma requête dans l'action
ci-dessous pour pouvoir éviter les injections sql ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
 public ActionResult Edit(long id)
        {
            Alert alert = db.Alerts.Single(a => a.Id == id);
            return View(alert);
        }

Merci d'avance.

[tomlev]

Ce code ne présente aucun risque d'injection SQL... c'est l'un des avantages d'utiliser un ORM comme Linq to SQL ou Entity Framework : tu n'écris pas de SQL, il n'y a donc pas de risque d'injection.

Ce qui présente un risque, c'est de construire dynamiquement des requêtes SQL à partir d'informations saisies par l'utilisateur. Si tu utilises des requêtes paramétrées au lieu d'insérer ces informations directement dans la requête, il n'y a pas de risque. Les ORM utilisent d'ailleurs des requêtes paramétrées.

[Nathanael Marchand]

Enfait, il me semble que pour comprendre ce fil, il faut reprendre le fil précédent sur la réécriture d'url.

Déjà, un bon point pour sécuriser les pages est de mettre une gestion des rôles: faire en sorte qu'uniquement les utilisateurs reconnus puissent effectuer l'opération.

[maparè]

Enfait, il me semble que pour comprendre ce fil, il faut reprendre le fil précédent sur la réécriture d'url.

Déjà, un bon point pour sécuriser les pages est de mettre une gestion des rôles: faire en sorte qu'uniquement les utilisateurs reconnus puissent effectuer l'opération.

Salut,

Merci pour vos réponses, çà me rassure.

Bonne nuit.