IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

avec Java Discussion :

formulaires et sécurité


Sujet :

avec Java

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre averti
    Profil pro
    Inscrit en
    Mai 2008
    Messages
    13
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2008
    Messages : 13
    Par défaut formulaires et sécurité
    Bonsoir tout le monde !

    Je voulais savoir si il existe des méthodes permettant de traiter le contenu des formulaires pour plus de sécurité pour le site internet. Par exemple : backslasher les quotes et le guillemets, traitement des balises html, ...

    J'ai fais une recherche sur Google mais je n'ai rien trouvé de pertinent.

    Merci d'avance pour vos réponses.

  2. #2
    Membre expérimenté Avatar de Tux++
    Étudiant
    Inscrit en
    Avril 2008
    Messages
    281
    Détails du profil
    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Avril 2008
    Messages : 281
    Par défaut
    bonjour,

    les Patterns simplement?

    http://java.sun.com/j2se/1.4.2/docs/...x/Pattern.html

  3. #3
    Membre averti
    Profil pro
    Inscrit en
    Mai 2008
    Messages
    13
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2008
    Messages : 13
    Par défaut
    Merci Tux++ !
    C'est bien ce que je pensais, je vais faire mes méthodes utilitaires avec les patterns !
    J'aurais cru qu'il existait des méthodes un peu comme en le addslashes de PHP.

  4. #4
    Membre émérite
    Profil pro
    Inscrit en
    Juillet 2006
    Messages
    548
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2006
    Messages : 548
    Par défaut
    Il faut surtout utiliser les PreparedStatement :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    PreparedStatement ps = connection.prepareStatement("select * from user where login=?");
    ps.setString(1, login);
    ResultSet rs = ps.executeQuery();
    Au lieu de faire

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    "select * from user where login=" + login
    Les prepared statements gèrent tout seuls les quotes. Par contre pour ce qui est des balises html il faut que tu les gère ailleurs.

  5. #5
    Membre Expert
    Avatar de natha
    Profil pro
    Inscrit en
    Janvier 2006
    Messages
    2 346
    Détails du profil
    Informations personnelles :
    Localisation : Suisse

    Informations forums :
    Inscription : Janvier 2006
    Messages : 2 346
    Par défaut
    L'avantage d'utiliser un preparedstatement avec des bind variables (les '?') c'est aussi que ça permet au SGBD de mettre en cache la requête, et si tu l'utilises plusieurs fois avec des critères différents, il n'aura pas besoin de la recompiler à chaque fois.

  6. #6
    Expert éminent
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Avril 2007
    Messages
    25 482
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 46
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2007
    Messages : 25 482
    Par défaut
    Pour ce qui est du code html, etc, c'est à toi de le gérer correctement quand tu fait ton rendu. C'est pas à la soumission qu'il faut gérer çà. Après tout, il peut être normal pour un utilisateur d'écrire <entre coins>, il ne pensera peut-être même pas écrire une balise. C'est à toi de gérer les & et les < > dans le rendu (note que les tags h:outputText de JSF, par exemple, gèrent déjà çà sans problème).

    Pour les "caractères qui pourraient modifier les requêtes sql", c'est à toi d'utiliser des prepared statements. (Note que le addslashes de php n'est pas parfait, il a posé des problèmes, à une époque, avec sql server par exemple)

Discussions similaires

  1. Vérification de formulaire et sécurité
    Par isitien dans le forum jQuery
    Réponses: 9
    Dernier message: 13/04/2011, 05h21
  2. [AC-2007] Changer de fiche de formulaire avec sécurité
    Par samsab dans le forum IHM
    Réponses: 1
    Dernier message: 06/03/2011, 14h50
  3. Sécurité en VBA a travers formulaire
    Par gwendk dans le forum Sécurité
    Réponses: 11
    Dernier message: 24/05/2006, 08h52
  4. Réponses: 1
    Dernier message: 14/09/2005, 11h22
  5. [Sécurité] Formulaire Enquette
    Par Destiny dans le forum Langage
    Réponses: 6
    Dernier message: 09/09/2005, 14h55

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo