Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Que faut il surveillez en entré et comment?
Bonjour.
Actuellement j'utilise SQLServer avec PHP et je constate qu'il n'y a pas de fonction spécifique comme mysql_real_escape pour échapper les caractère spécieux que SQLServeur pourrait intérpréter et je voulais savoir que fallait il échapper.
Je constate par exemple que si je m'étais ceci "--" (Signe du commentaire') SQLServer partait en sucete...
Merci
Alut, pas un pro mais
SQL injection...
A ma connaissance, y'a rien de "natif"
Sur google.com / kw : sqlserver 2000 avoid sql injection
Perso je passe toutes les données envoyées depiuis le client side par
des fonctions (ASP et/ou UDF) pour "purger".
Maybe ?
Samsih
De même donc il faut échapper quoi parce que je ne sais pas forcement la sensibilité té de SQLServeur. Je sais par exemple que le simple quote il faut le doubler et non pas mettre de \ devant comment beaucoup font sur Mysql.Envoyé par Samish
ALut,
EN ASP :
> SQLVal
- vérifie que la donnée est un numeric
> SQLStr et CleanString
- Remplacent via regExp dans la donnée certains mots, caractères.
Ex : --, SELECT, UPDATE, DELETE, =, *, /
EN SQL :
- Des UDF du type FN_RESTRICT (code sur ce site)
- Des profils utilisateurs (dans chaine connexion avec des droit en SELECT seuls)
- Travail sur des vues, pas sur les tables "mères" pour la lecture, recherche
Doit avoir encore d'autres manip, mais comme je l'ai déjà dit je suis pas un pro.
Maybe ?
Samish
ça m'interesse ce que tu me dis. Pourquoi dois-je travailler sur les vue non pas sur les tables directement?
Répondre avec citation
Partager