Discussion :

[Joey5]

Bonsoir tout le monde !

Je voulais savoir si il existe des méthodes permettant de traiter le contenu des formulaires pour plus de sécurité pour le site internet. Par exemple : backslasher les quotes et le guillemets, traitement des balises html, ...

J'ai fais une recherche sur Google mais je n'ai rien trouvé de pertinent.

Merci d'avance pour vos réponses.

[Tux++]

bonjour,

les Patterns simplement?

http://java.sun.com/j2se/1.4.2/docs/...x/Pattern.html

[Joey5]

Merci Tux++ !
C'est bien ce que je pensais, je vais faire mes méthodes utilitaires avec les patterns !
J'aurais cru qu'il existait des méthodes un peu comme en le addslashes de PHP.

[the-gtm]

Il faut surtout utiliser les PreparedStatement :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
PreparedStatement ps = connection.prepareStatement("select * from user where login=?");
ps.setString(1, login);
ResultSet rs = ps.executeQuery();

Au lieu de faire

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

"select * from user where login=" + login

Les prepared statements gèrent tout seuls les quotes. Par contre pour ce qui est des balises html il faut que tu les gère ailleurs.

[natha]

L'avantage d'utiliser un preparedstatement avec des bind variables (les '?') c'est aussi que ça permet au SGBD de mettre en cache la requête, et si tu l'utilises plusieurs fois avec des critères différents, il n'aura pas besoin de la recompiler à chaque fois.

[tchize_]

Pour ce qui est du code html, etc, c'est à toi de le gérer correctement quand tu fait ton rendu. C'est pas à la soumission qu'il faut gérer çà. Après tout, il peut être normal pour un utilisateur d'écrire <entre coins>, il ne pensera peut-être même pas écrire une balise. C'est à toi de gérer les & et les < > dans le rendu (note que les tags h:outputText de JSF, par exemple, gèrent déjà çà sans problème).

Pour les "caractères qui pourraient modifier les requêtes sql", c'est à toi d'utiliser des prepared statements. (Note que le addslashes de php n'est pas parfait, il a posé des problèmes, à une époque, avec sql server par exemple)