SQL conseils en matière de sécurité.

Signaler
Messages postés
475
Date d'inscription
jeudi 19 juin 2003
Statut
Membre
Dernière intervention
3 novembre 2008
-
Messages postés
6351
Date d'inscription
samedi 1 juin 2002
Statut
Membre
Dernière intervention
2 août 2014
-
Salut tout le monde,
J'ai quelques conseils à vous demander.
Je travaille sur une application qui utilise une base de donnée MS SQL Express 2005.
Dans toutes mes requêtes, j'utile des SqlParams afin d'éviter l'injection SQL. De ce côté-là, j'ai l'esprit tranquille.
Maintenant, afin d'éviter l'injection du code Javascript et Html, je dois utiliser l'encodage Html (HtmlEncode).
J'ai décidé d'encoder les données seulement à leur affichage et non lors de leur enregistrement à la base de donnée. Cela permetterait d'afficher les données dans une page web mais aussi dans une application winform (qui n'interprète pas les balises Html).

Ma question est la suivante : y a-t-il des risques à encoder (HtmlEncode) les données seulement à leur affichage.
Si vous avez d'autres conseils à me donner, je suis preneur.

Merci

[:D] @++

1 réponse

Messages postés
6351
Date d'inscription
samedi 1 juin 2002
Statut
Membre
Dernière intervention
2 août 2014
98
Salut,

Du html est du texte comme un autre, à ma connaissance il ne devient potentiellement dangereux que suivant le contexte dans lequel il est utilisé ensuite.
Le moteur de base de données ne risquant pas de l'interpréter, il n'y a à mon avis que la partie qui se sert de la donnée qui doit s'assurer qu'il est affiché et non pas interprété.

/*
coq
MVP Visual C#
CoqBlog
*/