Discussion :

[testicool]

Coucou, vla ma ptit question: je termine la réalisation d'un site et j'ai entendu dire qu'il été possible pour un pirate d'entré sur le serveur via un script sql qu'il introduit dans une textbox présente sur un formulaire du site. Ma question est donc la suivante: Comment faire pour empéché cela??

l'utilisation de contraintes d'intégrité (Check()) serait'il sufisant ?

[Fabien Celaia]

Déjà,
1) éviter l'utilisation de SA
2) ne donner que les permissions strictement nécessaires au login utilisé

[testicool]

Le formulaire dont je parle est accessible a tout le monde (pas de login/pwd). La technique du pirate consite à écrire dans la textbox du formulaire ex: le formulaire contient N champ, la page du site fait un INSERT dans la table

INSERT INTO
NOM_TABLE (CHAMP_1,...,CHAMP_N)
VALUES (VALEUR_1,...,VALEUR_N)

Au lieu d'introduire une valeur (ex: dupont) dans le dernier champ
il introduit des " et ferme la parenthése ensuite il continu son script

(INSERT INTO
NOM_TABLE (CHAMP_1,...,CHAMP_N)
VALUES (VALEUR_1,...,"") ALTER TABLE ....

MS-SQL va donc faire l'insert et la suite du script . Une possibilité serai d'avoir une txtbox avec un nombre limité de caractéres, mais la il peut tjs changé le source de la page. On ma donc conseiller d'utilisé un triggers MAIS OU?? une fois l'insert réalisé le mal est fait

[Fabien Celaia]

Pas faisable si l'utilisateur qui se connecte à MS-SQL via votre IIS (ou autre) n'as pas d'autorisations pour créer des objets, et juste l'autorisation de faire des insert/update/delete sur els tables utilisateur.

[testicool]

grand merci ça marche (cété tout simple )