Discussion :

[olibara]

Bonjour
Dans une application Csharp avec ADO.NET pour SQL Server je construit des requetes de recherche sur base de critéres variable introduits pas l'utilidsateur dans un formulaire

En gros l'utilisateur donne des valeurs a certains champ predifinis et si le champ contient quelque chose on ajoute un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Where champ='Valeur introduite'

Mais cela offre evidement une porte d'entrée oux indésirables

Existe-il un outil ou une methode permettant de valider que le contenu du champ est safe ?

[mikedavem]

Bonjour,

Oui , aussi loin que je me souvienne, il existe des méthodes pour cela.
Vous devez par exemple considérer votre combox comme étant un paramètre de votre requête et non construire votre requête avec ces mêmes valeurs.

Exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
-- Mauvais code
string cmdStr = "insert into maTable (col1, col2) values ('" + 
      combobox1.Text + "', '" + combox2.Text + "')";
 
-- Code plus sécurisé :
string cmdStr =
      "insert into maTable (col1, col2) values (" +
      "@param1, @param2)";
 
using (SqlConnection conn = new SqlConnection(connStr))
   using (SqlCommand cmd = new SqlCommand(cmdStr, conn))
      {
          // add parameters
          cmd.Parameters.AddWithValue
             ("@param1", combox1.Text);
          cmd.Parameters.AddWithValue("@param2", combobox2.Text);
 
         ...
      }

Je vous invite à aller voir du côté du forum CSharp pour plus d'informations

++

[olibara]

Merci MikeDavem

Oui c'est le principe de la requete parametrée
Mais dans ce contexte c'est beaucoup plus fastidieux a a mettre en oeuvre
car il ne s'agit pas d'un insert ou d'un update avec des variables connues

Mais d'un where avec un nombre de condition indéterminé

[elsuket]

Bonjour,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
-- Code plus sécurisé :
string cmdStr =
      "insert into maTable (col1, col2) values (" +
      "@param1, @param2)";

Et qu'est-ce qui se passe si je parviens à réaliser une injection SQL en écrivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
-- Code plus sécurisé :
string cmdStr =
      "SHUTDOWN;insert into maTable (col1, col2) values (" +
      "@param1, @param2)";

ou plus probable

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
-- Code plus sécurisé :
string cmdStr =
      "DELETE FROM maTable; insert into maTable (col1, col2) values (" +
      "@param1, @param2)";

L'utilisation de procédures stockées n'est-il pas le meilleur moyen d'eviter cela ?

@++

[mikedavem]

Tout à fait d'accord avec toi !!

Dans le cas de olibara je pense qu'une procédure stockée peut être un choix judicieux.

++

[olibara]

Bonjour

Merci a vous, mais je ne crois pas non plus courrir autant qe risque que vous présentez

1- Le coeur de la commande sql est fixée dans l'aplication
2- La partie WHERE et variable et définie par les champs eventuellements remplis d'un tableau
3- Je traite chaque champ individuellement pour construire la chaine where a l'aide d'une AddWhere que j'appelle en boucle (ci apres)

Donc ma question est : comment puis-je remplacer cela par une procédure stockée et quelle sécurité suplémentaire cela offre ?

Dans ma methode, je peux evidement aussi eliminer de la chaine de parametre toAdd tout ';' dangereux !


Merci de vos conseils

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
    // *********************************************************************************
    /// <summary>
    /// Ajout where argument from string type string (operateur AND)
    /// </summary>
    /// <param name="curWhere"></param>
    /// <param name="Item"></param>
    /// <param name="toAdd"></param>
    /// <returns></returns>
    public string addWhereTxt(string curWhere, string Item, string toAdd)
    {
      if (toAdd.Length <= 0)
      {
        return curWhere;
      }
      toAdd = toAdd.Replace("'", "''");
      string Add = string.Format(" {0}='{1}' ", Item, toAdd);
      if (curWhere.Length == 0)
      {
        return " WHERE " + Add;
      }
      return curWhere + " AND " + Add;
    }