Discussion :

[bizet]

Bonjour,

dans mon projet en developpement, je vais récupérer le contenu d'une textarea (plus précisement le composant Infragistics WebHtmlEditor) que l'utilisateur va remplir.
Pour la mise en page, l'utilisateur a la possibilité de rajouter des balises html quelconques.

Lors de l'insertion de la valeur dans la BD j'utilise le passage de parametres.
Exemple (Fais avec le DAAB de l'enterprise Library de Microsoft) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
DbCommand cmd = db.GetSqlStringCommand("SELECT ... where id=?ID");
db.AddInParameter(cmd, "?ID", DbType.Int32, Id);

Est ce que vous pensez que c'est suffisant pour contrer les sql injections ou il faut queje fasse d'autres tests et si oui lesquels?

Merci de vos contributions

[bizet]

J'ai désactivé le mode "HTML" du composant; l'utilisateur ne peut donc pas modifier le code HTML de ce qu'il tape.

Dans le cas où il écrit des balises html, elles ne sont pas interprétées; donc pas de soucis de SQL injection.

[Pongten]

Sinon, il y a aussi les méthodes HTMLEncode() et HTMLDecode() sur des string, non ?