Chaque échantillon que j'ai vu utilise des procédures stockées. J'ai adopté une ancienne application écrite en ASP classique qui utilise SQL inline. C'est un problème évident, j'ai donc besoin de le convertir en code plus sûr. Le client ne souhaite pas que j'utilise des procédures stockées dans cette application, donc existe-t-il un moyen d'exécuter des requêtes paramétrées sans procédures stockées?Requêtes paramétrées SANS les procédures stockées?
Merci
Oui, il y a. Jetez un oeil à certains de ces exemples:
http://www.securestate.blogspot.com/2008/09/classic-asp-sql-injection-prevention_30.html http://www.userfriendlythinking.com/Blog/BlogDetail.asp?p1=7013&p2=119&p7=3001
Y at-il des raisons pour lesquelles le client ne veut pas utiliser des procédures stockées? Il est beaucoup plus facile d'utiliser des procédures stockées tant au niveau de la base de données que dans votre code source. Vous devriez obtenir la mise en cache du plan de requête sur votre requête inline si vous utilisez la deuxième méthode ci-dessus, mais en fonction de ce que vous faites, vous pourriez être mieux avec des sprocs simples si vous pouvez convaincre votre client que vous pouvez les utiliser. Si tout le reste échoue les liens ci-dessus sont assez solides, en particulier le second.
- 1: "plus facile" est subjectif, et l'utilisation de procédures stockées n'est pas une garantie contre l'injection SQL. – RedFilter
Je ne pense pas une minute que c'est une chose subjective. C'est un concept standard de développement à plusieurs niveaux, qui sépare vos niveaux de logique et de données. Je n'ai également jamais dit que les procédures stockées _guarantee_ protection contre l'injection SQL. Les requêtes paramétrées et les procédures stockées empêcheront de nombreuses situations de codage paresseux permettant l'injection SQL, mais n'empêcheront pas les requêtes dynamiques dans les sprocs d'être vulnérables entre autres. Un vote négatif semble plutôt inapproprié étant donné que c'était une réponse valide et perspicace. – tcnolan
Le premier lien ne semble pas fonctionner – Chris
Cela a bien fonctionné pour moi –
Juste testé. Ne semble pas charger sans le www mais ça va bien avec. Merci! – Chris