IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Développement SQL Server Discussion :

Risque d'injection SQL avec un like dans une procédure stockée


Sujet :

Développement SQL Server

  1. 28/11/2012, 12h49 #1
    Oberown
    Oberown est déconnecté
    Membre actif
    Profil pro
    Inscrit en
    Juillet 2004
    Messages
    849
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Juillet 2004
    Messages : 849
    Points : 295
    Points
    295
    Par défaut Risque d'injection SQL avec un like dans une procédure stockée
    Bonjour,

    J'ai une procédure stockée avec un LIKE, mais je me demande si il n'y a pas de risque d'injection SQL, à cause de la concatenation.

    Code SQL : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    ALTER PROCEDURE Search
@word nvarchar(512)
AS
BEGIN
	-- SET NOCOUNT ON added to prevent extra result sets from
	-- interfering with SELECT statements.
	SET NOCOUNT ON;
 
		Select ID, Name
		from matabmle
		where monchamps like '%'+@word+'%' 		
 
END

    Merci pour votre aide
    Répondre avec citation Répondre avec citation   0  0
  2. 28/11/2012, 13h03 #2
    SQLpro
    SQLpro est déconnecté
    Rédacteur

    Avatar de SQLpro
    Homme Profil pro
    Expert bases de données / SQL / MS SQL Server / Postgresql
    Inscrit en
    Mai 2002
    Messages
    21 786
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Var (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Expert bases de données / SQL / MS SQL Server / Postgresql
    Secteur : Conseil

    Informations forums :
    Inscription : Mai 2002
    Messages : 21 786
    Points : 52 793
    Points
    52 793
    Billets dans le blog
    5
    Par défaut
    Non pas possible. Ce n'est possible que pour du SQL dynamique avec EXEC ('...') ou sp_executesql...

    A +
    Frédéric Brouard - SQLpro - ARCHITECTE DE DONNÉES - expert SGBDR et langage SQL
    Le site sur les SGBD relationnels et le langage SQL: http://sqlpro.developpez.com/
    Blog SQL, SQL Server, SGBDR : http://blog.developpez.com/sqlpro
    Expert Microsoft SQL Server - M.V.P. (Most valuable Professional) MS Corp.
    Entreprise SQL SPOT : modélisation, conseils, audit, optimisation, formation...
    * * * * * Expertise SQL Server : http://mssqlserver.fr/ * * * * *
    Répondre avec citation Répondre avec citation   0  0
  3. 28/11/2012, 21h56 #3
    StringBuilder
    StringBuilder est déconnecté
    Expert éminent
    Avatar de StringBuilder
    Homme Profil pro
    Chef de projets
    Inscrit en
    Février 2010
    Messages
    4 154
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Chef de projets
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2010
    Messages : 4 154
    Points : 7 403
    Points
    7 403
    Billets dans le blog
    1
    Par défaut
    En effet, tous les caractères d'échappement permettant de faire une injection seront déjà échappés puisque @word est une variable.

    Si par exemple le @word contient :
    Code sql : Sélectionner tout - Visualiser dans une fenêtre à part
    test';truncate table factures;select 'hihi
    Alors la formule ne produira pas :
    Code sql : Sélectionner tout - Visualiser dans une fenêtre à part
    WHERE monchamps LIKE '%test';truncate table factures;select 'hihi%'
    mais :
    Code sql : Sélectionner tout - Visualiser dans une fenêtre à part
    WHERE monchamps LIKE '%test'';truncate table factures;select ''hihi%'

    Et du coup... ben votre pirate en herbe n'arrivera pas à faire grand chose.
    On ne jouit bien que de ce qu’on partage.
    Répondre avec citation Répondre avec citation   0  0
+ Répondre à la discussion
Cette discussion est résolue.
ActualitésF.A.Q SQL-SERVERTUTORIELS SQL-SERVERSOURCES SQL-SERVERLIVRES SQL-SERVER
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. Pb de requete SQL avec clauses WHERE dans une procédure stockée
    Par CocoLeNain dans le forum SQL Procédural
    Réponses: 2
    Dernier message: 11/06/2010, 23h48
  2. [SQL Server 2005] print dans une procédure stockée
    Par anayathefirst dans le forum MS SQL Server
    Réponses: 10
    Dernier message: 21/03/2008, 15h50
  3. requete SQL avec where dynamique dans une servlet
    Par Mickael Scofild dans le forum Servlets/JSP
    Réponses: 2
    Dernier message: 12/08/2007, 12h05
  4. [SQL-Server] Sous requete dans une procédure stockée
    Par Worldofdada dans le forum MS SQL Server
    Réponses: 6
    Dernier message: 09/02/2006, 11h18
  5. Problème avec un LIKE dans une procédure stockée
    Par Oluha dans le forum MS SQL Server
    Réponses: 2
    Dernier message: 22/12/2004, 14h38

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo