Discussion :

[berceker united]

Bonjour.
Actuellement j'utilise SQLServer avec PHP et je constate qu'il n'y a pas de fonction spécifique comme mysql_real_escape pour échapper les caractère spécieux que SQLServeur pourrait intérpréter et je voulais savoir que fallait il échapper.
Je constate par exemple que si je m'étais ceci "--" (Signe du commentaire') SQLServer partait en sucete...
Merci

[Samish]

Alut, pas un pro mais

SQL injection...

A ma connaissance, y'a rien de "natif"
Sur google.com / kw : sqlserver 2000 avoid sql injection

Perso je passe toutes les données envoyées depiuis le client side par
des fonctions (ASP et/ou UDF) pour "purger".

Maybe ?
Samsih

[berceker united]

Alut, pas un pro mais

SQL injection...

A ma connaissance, y'a rien de "natif"
Sur google.com / kw : sqlserver 2000 avoid sql injection

Perso je passe toutes les données envoyées depiuis le client side par
des fonctions (ASP et/ou UDF) pour "purger".

Maybe ?
Samsih

De même donc il faut échapper quoi parce que je ne sais pas forcement la sensibilité té de SQLServeur. Je sais par exemple que le simple quote il faut le doubler et non pas mettre de \ devant comment beaucoup font sur Mysql.

[Samish]

ALut,

EN ASP :
> SQLVal
- vérifie que la donnée est un numeric

> SQLStr et CleanString
- Remplacent via regExp dans la donnée certains mots, caractères.
Ex : --, SELECT, UPDATE, DELETE, =, *, /

EN SQL :
- Des UDF du type FN_RESTRICT (code sur ce site)
- Des profils utilisateurs (dans chaine connexion avec des droit en SELECT seuls)
- Travail sur des vues, pas sur les tables "mères" pour la lecture, recherche


Doit avoir encore d'autres manip, mais comme je l'ai déjà dit je suis pas un pro.

Maybe ?
Samish

[berceker united]

ALut,

EN ASP :
> SQLVal
- vérifie que la donnée est un numeric

> SQLStr et CleanString
- Remplacent via regExp dans la donnée certains mots, caractères.
Ex : --, SELECT, UPDATE, DELETE, =, *, /

EN SQL :
- Des UDF du type FN_RESTRICT (code sur ce site)
- Des profils utilisateurs (dans chaine connexion avec des droit en SELECT seuls)
- Travail sur des vues, pas sur les tables "mères" pour la lecture, recherche


Doit avoir encore d'autres manip, mais comme je l'ai déjà dit je suis pas un pro.

Maybe ?
Samish

ça m'interesse ce que tu me dis. Pourquoi dois-je travailler sur les vue non pas sur les tables directement?