Prévenir les injections sql dans une application ASP.net MVC2(C#)

Version imprimable

02/03/2011, 04h37
maparè

Prévenir les injections sql dans une application ASP.net MVC2(C#)
Bonjour,

Je voudrais savoir comment je peux réécrire ma requête dans l'action
ci-dessous pour pouvoir éviter les injections sql ?
Code:

1 2 3 4 5 6 public ActionResult Edit(long id) { Alert alert = db.Alerts.Single(a => a.Id == id); return View(alert); }
Merci d'avance.
02/03/2011, 10h07
tomlev

Ce code ne présente aucun risque d'injection SQL... c'est l'un des avantages d'utiliser un ORM comme Linq to SQL ou Entity Framework : tu n'écris pas de SQL, il n'y a donc pas de risque d'injection.

Ce qui présente un risque, c'est de construire dynamiquement des requêtes SQL à partir d'informations saisies par l'utilisateur. Si tu utilises des requêtes paramétrées au lieu d'insérer ces informations directement dans la requête, il n'y a pas de risque. Les ORM utilisent d'ailleurs des requêtes paramétrées.
02/03/2011, 10h52
Nathanael Marchand

Enfait, il me semble que pour comprendre ce fil, il faut reprendre le fil précédent sur la réécriture d'url.

Déjà, un bon point pour sécuriser les pages est de mettre une gestion des rôles: faire en sorte qu'uniquement les utilisateurs reconnus puissent effectuer l'opération.
03/03/2011, 04h55
maparè

Citation:

Envoyé par PitMaverick78

Enfait, il me semble que pour comprendre ce fil, il faut reprendre le fil précédent sur la réécriture d'url.

Déjà, un bon point pour sécuriser les pages est de mettre une gestion des rôles: faire en sorte qu'uniquement les utilisateurs reconnus puissent effectuer l'opération.

Salut,

Merci pour vos réponses, çà me rassure.

Bonne nuit.