Validation de l'entrée utilisateurValidating User Input

TéléchargerTélécharger le pilote JDBCDownloadDownload JDBC Driver

Lorsque vous construisez une application qui accède à des données, vous devez assumer que toutes les entrées utilisateur sont malveillantes jusqu'à preuve du contraire.When you construct an application that accesses data, you should assume all user input to be malicious until proven otherwise. Dans le cas contraire, vous risquez d'exposer votre application à des attaques.Failure to do this can leave your application vulnerable to attack. Un type d’attaque peut se produire est appelé d’injection SQL, où un code malveillant est ajouté aux chaînes transmises ultérieurement à une instance de SQL ServerSQL Server pour être analysé et exécuté.One type of attack that can occur is called SQL injection, where malicious code is added to strings that are later passed to an instance of SQL ServerSQL Server to be parsed and run. Pour éviter ce type d'attaque, vous devez utiliser des procédures stockées avec des paramètres dans la mesure du possible, et toujours valider l'entrée d'utilisateur.To avoid this type of attack, you should use stored procedures with parameters where possible, and always validate user input.

La validation de l'entrée utilisateur dans le code client est importante afin de ne pas gaspiller d'allers-retours vers le serveur.Validating user input in client code is important so that you do not waste round trips to the server. Il est également important de valider les paramètres des procédures stockées sur le serveur afin d'intercepter les entrées non valides et qui contournent la validation côté client.It is equally important to validate parameters to stored procedures on the server to catch input that is not valid and that bypasses client-side validation.

Pour plus d’informations sur l’injection SQL et comment l’éviter, consultez la rubrique « SQL Injection » dans SQL ServerSQL Server la documentation en ligne.For more information about SQL injection and how to avoid it, see "SQL Injection" in SQL ServerSQL Server Books Online. Pour plus d’informations sur la validation des paramètres de procédure stockée, consultez « procédures stockées ( Moteur de base de donnéesDatabase Engine) » et les rubriques subalternes dans SQL ServerSQL Server la documentation en ligne.For more information about validating stored procedure parameters, see "Stored Procedures ( Moteur de base de donnéesDatabase Engine)" and subordinate topics in SQL ServerSQL Server Books Online.

Voir aussiSee Also

Sécurisation des applications de pilote JDBCSecuring JDBC Driver Applications