Risque d'injection SQL avec un like dans une procédure stockée

Bonjour,

J'ai une procédure stockée avec un LIKE, mais je me demande si il n'y a pas de risque d'injection SQL, à cause de la concatenation.

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13

ALTER PROCEDURE Search @word nvarchar(512) AS BEGIN -- SET NOCOUNT ON added to prevent extra result sets from -- interfering with SELECT statements. SET NOCOUNT ON;   Select ID, Name from matabmle where monchamps like '%'+@word+'%'   END

---

Merci pour votre aide

Non pas possible. Ce n'est possible que pour du SQL dynamique avec EXEC ('...') ou sp_executesql...

A +

En effet, tous les caractères d'échappement permettant de faire une injection seront déjà échappés puisque @word est une variable.

Si par exemple le @word contient :

Code:

---

test';truncate table factures;select 'hihi

---

Alors la formule ne produira pas :

Code:

---

WHERE monchamps LIKE '%test';truncate table factures;select 'hihi%'

---

mais :

Code:

---

WHERE monchamps LIKE '%test'';truncate table factures;select ''hihi%'

---

Et du coup... ben votre pirate en herbe n'arrivera pas à faire grand chose.