SQL conseils en matière de sécurité.

cs_badrbadr Messages postés 475 Date d'inscription jeudi 19 juin 2003 Statut Membre Dernière intervention 3 novembre 2008 - 18 août 2006 à 21:49
cs_coq Messages postés 6351 Date d'inscription samedi 1 juin 2002 Statut Membre Dernière intervention 2 août 2014 - 20 août 2006 à 14:41
Salut tout le monde,
J'ai quelques conseils à vous demander.
Je travaille sur une application qui utilise une base de donnée MS SQL Express 2005.
Dans toutes mes requêtes, j'utile des SqlParams afin d'éviter l'injection SQL. De ce côté-là, j'ai l'esprit tranquille.
Maintenant, afin d'éviter l'injection du code Javascript et Html, je dois utiliser l'encodage Html (HtmlEncode).
J'ai décidé d'encoder les données seulement à leur affichage et non lors de leur enregistrement à la base de donnée. Cela permetterait d'afficher les données dans une page web mais aussi dans une application winform (qui n'interprète pas les balises Html).

Ma question est la suivante : y a-t-il des risques à encoder (HtmlEncode) les données seulement à leur affichage.
Si vous avez d'autres conseils à me donner, je suis preneur.

Merci

[:D] @++

1 réponse

cs_coq Messages postés 6351 Date d'inscription samedi 1 juin 2002 Statut Membre Dernière intervention 2 août 2014 100
20 août 2006 à 14:41
Salut,

Du html est du texte comme un autre, à ma connaissance il ne devient potentiellement dangereux que suivant le contexte dans lequel il est utilisé ensuite.
Le moteur de base de données ne risquant pas de l'interpréter, il n'y a à mon avis que la partie qui se sert de la donnée qui doit s'assurer qu'il est affiché et non pas interprété.

/*
coq
MVP Visual C#
CoqBlog
*/
0
Rejoignez-nous