Discussion :

[Haelle]

Bonjour tout le monde,
Je travaille sur une application ASP.NET et j'aimerai faire un effort pour lutter contre l'injection SQL. J'ai cherché ce que proposais le framework mais je n'ai pas trouvé.
Pour le moment j'utilise :
- des contrôles js et c# sur le type et la longueur des champs
- la balise ASP "regularexpressionvalidator"

Qu'est-ce qui est utilisé en général ?

Merci
Haelle

[PatteDePoule]

Échapper les caractères spéciaux.
Utiliser des paramètres pour tes variables dans tes requêtes SQL.

[GuruuMeditation]

Utiliser des stored procédures est aussi une solution.
Et, surtout, ne pas se connecter à la db avec un mot de passe admin

[kheironn]

Bonjour,
Avec un peu de recherche sur dvp.com on trouve : ça

Comme d'hab avant de poster , ,

Mais j'avoue que, vu ta question, tu ne devais pas connaître les requêtes paramétrées (dont on parle très régulièrement dans ce forum). Tu cherches sûrement le meilleur moyen, j'imagine.

[Haelle]

J'utilise déjà des requêtes paramétrées et je me connecte uniquement à la bdd avec un profil ayant juste les bons droits (login ne peut faire que des selects sur la table user, register insert que sur la table user, caddie ne peut faire que des select/update/delete sur la table commande, etc...)

@kheironn : j'ai lu cet article et je ne savais pas que les requêtes paramétrées était aussi efficace, j'appliquait juste la méthode qu'on m'avait montrée sans savoir que c'était robuste. Merci

Je considère que c'est assez sécurisé pour le moment, merci pour vos réponses.