IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

ASP.NET Discussion :

[C#] lutter contre l'injection sql


Sujet :

ASP.NET

  1. #1
    Membre averti
    Homme Profil pro
    Freelance
    Inscrit en
    Juillet 2009
    Messages
    45
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2009
    Messages : 45
    Par défaut [C#] lutter contre l'injection sql
    Bonjour tout le monde,
    Je travaille sur une application ASP.NET et j'aimerai faire un effort pour lutter contre l'injection SQL. J'ai cherché ce que proposais le framework mais je n'ai pas trouvé.
    Pour le moment j'utilise :
    - des contrôles js et c# sur le type et la longueur des champs
    - la balise ASP "regularexpressionvalidator"

    Qu'est-ce qui est utilisé en général ?

    Merci
    Haelle

  2. #2
    Membre chevronné
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Août 2008
    Messages
    381
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur .NET

    Informations forums :
    Inscription : Août 2008
    Messages : 381
    Par défaut
    Échapper les caractères spéciaux.
    Utiliser des paramètres pour tes variables dans tes requêtes SQL.

  3. #3
    Membre Expert
    Avatar de GuruuMeditation
    Homme Profil pro
    .Net Architect
    Inscrit en
    Octobre 2010
    Messages
    1 705
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50
    Localisation : Belgique

    Informations professionnelles :
    Activité : .Net Architect
    Secteur : Conseil

    Informations forums :
    Inscription : Octobre 2010
    Messages : 1 705
    Par défaut
    Utiliser des stored procédures est aussi une solution.
    Et, surtout, ne pas se connecter à la db avec un mot de passe admin

  4. #4
    Membre émérite Avatar de kheironn
    Homme Profil pro
    Chef de projets technique C# / MVC / .Net
    Inscrit en
    Février 2007
    Messages
    822
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Chef de projets technique C# / MVC / .Net
    Secteur : Conseil

    Informations forums :
    Inscription : Février 2007
    Messages : 822
    Par défaut
    Bonjour,
    Avec un peu de recherche sur dvp.com on trouve : ça

    Comme d'hab avant de poster , ,

    Mais j'avoue que, vu ta question, tu ne devais pas connaître les requêtes paramétrées (dont on parle très régulièrement dans ce forum). Tu cherches sûrement le meilleur moyen, j'imagine.

  5. #5
    Membre averti
    Homme Profil pro
    Freelance
    Inscrit en
    Juillet 2009
    Messages
    45
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Freelance
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2009
    Messages : 45
    Par défaut
    J'utilise déjà des requêtes paramétrées et je me connecte uniquement à la bdd avec un profil ayant juste les bons droits (login ne peut faire que des selects sur la table user, register insert que sur la table user, caddie ne peut faire que des select/update/delete sur la table commande, etc...)

    @kheironn : j'ai lu cet article et je ne savais pas que les requêtes paramétrées était aussi efficace, j'appliquait juste la méthode qu'on m'avait montrée sans savoir que c'était robuste. Merci

    Je considère que c'est assez sécurisé pour le moment, merci pour vos réponses.

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. [MySQL] se protéger contre les injections sql
    Par keusty78 dans le forum PHP & Base de données
    Réponses: 25
    Dernier message: 23/09/2009, 15h01
  2. Sécurité contre les injections SQL
    Par Generation-Web dans le forum Langage
    Réponses: 2
    Dernier message: 27/11/2008, 14h17
  3. Prévention contre les injections SQL
    Par Community Management dans le forum ASP
    Réponses: 0
    Dernier message: 29/07/2008, 12h50
  4. Lutter contre les injections SQL
    Par EvilAngel dans le forum ASP
    Réponses: 4
    Dernier message: 15/06/2006, 17h27

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo