Discussion :

[marcolo21]

Bonjour tous le monde,

j'aimerai savoir comment on fait une requête SQL parametré en asp pour pouvoir évité l'injection SQL.

Si on ne peut pas j'aimerai savoir comment faire alors pour évité l'injection SQL.

Merci beaucoup

[kaiser59]

Salut,

Il te suffit de créer une fonction (il en existe peut être déjà toute faite pas cherché, mais problème connu cf sujet traité) puis de l'employer lorsque tu en as besoin tout simplement

Code asp :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
  function strInjection (chaine)   remplace = replace(chaine,"'=''","")   ...   strInjection = remplace
end function   response.write strInjection request.form("message")

voilà un bref exemple

[marcolo21]

Merci beaucoup pour ta reponse,

je croyai qu'il existai une methode un peut comme en c# avec les sqlparameter , mais ta solution me convient.

pour appeler une fonction de ton type en asp est-ce qu'il faut que je fasse

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

strInjection (request.form("message"))

avec les parenthèses ou comme toi sans parenthèse ?

merci

[roro06]

Bonjour

Il existe avec ADO, de la même manière qu'avec ADO.NET, la possibilité d'utiliser des requêtes paramétrées.

Objets ADODB.command et ADODB.parameter.

Tu peux trouver un exemple ici. Ecrit en VB6, il est aisément transposable en vbscript pour ASP

avec les parenthèses ou comme toi sans parenthèse ?

les deux, mon capitaine (s'il n'y a qu'un seul paramètre. Au delà : sans les parenthèses).
le vbscript, c'est (trop) souple.