Une valeur Request.Form potentiellement dangereuse

**Pynouz** · 31/08/2011, 15h51

Bonjour,

J'ai un DropDownList tel quel :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<asp:DropDownList ID="DropDownList1" runat="server" 
                onselectedindexchanged="DropDownList1_SelectedIndexChanged" AutoPostBack="True">
                <asp:ListItem>10</asp:ListItem>
                <asp:ListItem>20</asp:ListItem>
                <asp:ListItem>30</asp:ListItem>
                <asp:ListItem>Tous</asp:ListItem>
            </asp:DropDownList>

Celle-ci me sert à afficher plus ou moins de résultat dans mon GridView (les 10, 20, 30 premiers ou tous les résultats).

Lorsque l'utilisateur choisit une valeur dans cette DDL la requête SQL de mon SqlDataSource est changé.

Ce qui ne plaît pas du tous à ma page puisqu'elle me renvoie une erreur :

Une valeur Request.Form potentiellement dangereuse a été détectée à partir du client

Pour palier à cette erreur, il me suffit de mettre la propriété ValidateRequest à 'True' et tous fonctionne pour le mieux.

Par contre, cette solution ne me parait pas satisfaisante car elle m'expose aux injections Sql.

Es-ce que je me fourvoie complètement? Sinon, y a t'il une solution afin de faire cette action en laissant ValidateRequest à 'False'?

**Immobilis** · 31/08/2011, 21h05

Salut,

Lever cette sécurité ouvre une petite brêche, ceci dit il n'y a pas de meilleur protection que la sécurisation de la base de données:

avoir les droits nécessaires et rien de plus;
verifier les paramètres d'entrée;
utiliser des procédures stockées ou du linq ou entity framework.

A+

**tomlev** · 31/08/2011, 21h45

Euh, t'es sûr que ça a un rapport avec le DropDownList ?

Normalement c'est plutôt sur des champs texte que ça fait ça, par exemple si l'utilisateur poste du HTML.
Et ça ne t'expose pas à une attaque par injection SQL, mais plutôt à une attaque XSS...

**Pynouz** · 01/09/2011, 09h14

Merci pour vos réponses,

En faite non ça n'a pas un rapport directe avec le DDL mais celui-ci renvoie une nouvelle requête Sql à mon SqlDataSource lorsque l'utilisateur change sa valeur. Je suppose donc que la page prend cela pour une attaque malveillante.

Sinon, pour qu'il y ait attaque XSS il faut que l'utilisateur puisse rentrer des données à un moment (par exemple par une TextBox) si j'ai bien compris?

Je vais faire des recherches concernant les indications de sécurité que tu m'as fournit Immobilis.