Discussion :

[seksaki]

Bonjour,

Voici mon problème:
Lorsque j'ecris des chaines dans le textboxt + apostrophe, il déclanche (erreur).
Alors c'est une faille.
Je voudrais savoir comment se protéger ? Est ce qu'il existe des fonctions dans le vb.net comme le php (addslashes) qui remplace le: ' par: / ?

Merci

[nsanabi]

tu remplace dans ta chaine le ' par un double '' avant de la mettre dans ta requête

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

tachaine.Replace("'","''")

sinon tu nous montre ton code? à première vu, je serai tenté d'affirmer qu'il y'auras des améliorations à faire dans ta façon de coder

[Pol63]

le replace est déconseillé, il vaut mieux utiliser des parameters sur l'objet command

[Hiraa]

Bonjour,

De passage, j'ai vu la réponse de Pol63, et j'aimerais bien savoir pourquoi le Replace est déconseillé parce que je l'utilise souvent dans mes développements.

Merci d'avance,

[Pol63]

ca évite les bugs et l'injection sql (mieux expliqué sur le net que ce qui va suivre je pense)

si tu as un textbox où tu peux faire une recherche sur un nom de personne
et que ta requete est

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

commandtext = "SELECT * FROM table where nom like '%" & textbox.text.replace("'","''") & "%'"

si l'utilisateur entre dans le textbox machin
la requete concaténée est ok est ressemble à ca

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM table where nom like '%machin%'

maintenant s'il entre
%' DELETE FROM table SELECT '

la requete devient

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
SELECT * FROM table where nom like '%%' 
DELETE FROM table 
SELECT '%'

ce qui fait qu'il vient de vider la table

en théorie quelqu'un qui veut faire du sql injection commence par taper un bout de requete qui va lui donner le nom des tables de la base
ensuite s'il en voit une qui risque de contenir des logins/mots de passe il va voir dedans etc...

les parameters sécurisent donc la requete


et en plus de sécuriser ca s'occupe des problèmes d'interopérabilité, genre doubler les ' sur les string
ou encore pour les dates, tu donnes une variable date de vb.net et c'est le framework qui s'occupe de mettre ca dans le format date de la base de données
parce que selon le sgbdr le mois est avant ou après l'année, et avec une concaténation c'est loin d'être terrible, et puis si tu changes de base de données il faut que tu changes tout ton code

donc voir la propriétés parameters sur l'objet dbcommand

[Sankasssss]

Je viens appuyer Pol63 sur l'utilisation des requêtes paramétrées.
En plus quand on y a gouté, on ne peut plus s'en passer !!!
Les requêtes sont plus lisible, plus besoin de se soucier des apostrophe et en plus si on les combines au adaptateur et au méthodes commandeUpdate, commandeDelete, commandeInsert et la fonction update de l'adaptateur, les modifications faite sur le dataSet sont répercutées directement sur la BD d'une manière bien plus optimal qu'un bouclage sur les lignes...

Bref à conseiller