Validation de l'entrée utilisateur
Lorsque vous construisez une application qui accède à des données, vous devez assumer que toutes les entrées utilisateur sont malveillantes jusqu'à preuve du contraire. Si vous ne le faites pas, votre application sera vulnérable aux attaques. L’injection SQL est un des types d’attaques qui peut se produire. Avec cette attaque, du code malveillant est ajouté à des chaînes transmises à une instance de SQL Server à des fins d’analyse et d’exécution. Pour éviter ce type d'attaque, vous devez utiliser des procédures stockées avec des paramètres dans la mesure du possible, et toujours valider l'entrée d'utilisateur.
La validation de l'entrée utilisateur dans le code client est importante afin de ne pas gaspiller d'allers-retours vers le serveur. Il est tout aussi important de valider les paramètres des procédures stockées sur le serveur. De cette façon, l’entrée est interceptée et ignore la validation côté client.
Pour plus d’informations sur l’injection de code SQL et sur la façon de l’éviter, consultez Injection de code SQL. Pour plus d’informations sur la validation des paramètres de procédure stockée, consultez Procédures stockées et les articles connexes.
Voir aussi
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour