Discussion :

[jmclej]

Bonjour,
Je suis sur un site en aspx où au niveau applicatif, il n'y a aucune utilisation de urlencode/urldecode, pourtant les url sont visiblement encodés (elles contiennent en effet des caractères du genre %20f etc...). Je me dis donc que le seul endroit d'où peut venir cet encodage est le serveur sur lequel le site tourne, mais je ne vois aucun paramétrage permettant a priori de faire cela dans IIS. Savez-vous d'où cela peut venir, et si c'est dans IIS, de quelle manière? Peut-être un autre fichier de conf prend le dessus pour cet encoding?
Le problème initial est qu'il a été remarqué que tous les caractères spéciaux sont encodés, sauf le guillemet, ce qui peut donc potentiellement poser des problèmes d'injection sql. Je voudrais donc désactiver cet encoding et le faire à la main au niveau applicatif afin de traiter correctement le cas du guillemet.
Merci pour vos lumières.
Julien

[Immobilis]

Salut,

Il y a d'autre moyen de réaliser des injections SQL que de passer des paramètres dans l'URL.
Pour t'en prévenir il est beaucoup plus simple d'utiliser les procédures stockées, de vérifier les paramètres en entrée, un compte SQL dont les privilèges sont juste suffisant pour faire ce qu'on attend.

A+