SQL conseils en matière de sécurité.

Question

Salut tout le monde,
J'ai quelques conseils à vous demander.
Je travaille sur une application qui utilise une base de donnée MS SQL Express 2005.
Dans toutes mes requêtes, j'utile des SqlParams afin d'éviter l'injection SQL. De ce côté-là, j'ai l'esprit tranquille.
Maintenant, afin d'éviter l'injection du code Javascript et Html, je dois utiliser l'encodage Html (HtmlEncode).
J'ai décidé d'encoder les données seulement à leur affichage et non lors de leur enregistrement à la base de donnée. Cela permetterait d'afficher les données dans une page web mais aussi dans une application winform (qui n'interprète pas les balises Html).

Ma question est la suivante : y a-t-il des risques à encoder (HtmlEncode) les données seulement à leur affichage.
Si vous avez d'autres conseils à me donner, je suis preneur.

Merci

[:D] @++

cs_coq · Answer

Salut,

Du html est du texte comme un autre, à ma connaissance il ne devient potentiellement dangereux que suivant le contexte dans lequel il est utilisé ensuite.
Le moteur de base de données ne risquant pas de l'interpréter, il n'y a à mon avis que la partie qui se sert de la donnée qui doit s'assurer qu'il est affiché et non pas interprété.

/*
coq
MVP Visual C#
CoqBlog
*/

SQL conseils en matière de sécurité.

1 réponse

Votre réponse

Discussions similaires