cs_ov3rdoze
Messages postés414Date d'inscriptionlundi 19 juillet 2004StatutMembreDernière intervention23 septembre 2014
-
30 avril 2007 à 11:37
cs_ov3rdoze
Messages postés414Date d'inscriptionlundi 19 juillet 2004StatutMembreDernière intervention23 septembre 2014
-
30 avril 2007 à 12:12
Bonjour
J'ai un textbox multilignes dont le contenudoit être enregistré dans une base de données. Il sera ensuite affiché dans des div ou autre. Je souhaiterais pouvoir échapper certains caractères (", ') pour pouvoir insérer le contenu dans ma requête, et éviter par la même occasion l'injection SQL.
Je travaille en visual basic et je n'ai pas trouvé d'équivalent au addslashes() de PHP qui ajoute des \ devant les caractères 'à risque'. J'ai essayé de le faire avec un replace mais le \ n'echappe pas le caractère : " ==> le caractère " est quand même interprété...
jesusonline
Messages postés6814Date d'inscriptiondimanche 15 décembre 2002StatutMembreDernière intervention13 octobre 201029 30 avril 2007 à 11:58
Bonjour,
utilises plutot les requetes paramètres qui est BEAUCOUP plus secure et propre qu'un simple replace :-) en plus ce sera typé tu n'auras pas de problème de conversion (notamment pour les dates)
SqlCommand cmd = new SqlCommand("insert into toto values(@tonchamp)", conn);
cmd.Parameters.Add("@tonChamp", SqlDbType.nvarchar).Value = "toto'); drop table toto; --')
cs_ov3rdoze
Messages postés414Date d'inscriptionlundi 19 juillet 2004StatutMembreDernière intervention23 septembre 2014 30 avril 2007 à 12:02
Nickel merci
Mais juste par curiosité c'est faisable?
Et autre chose (je débute) : Comment récupérer la chaine de connexion qui est dans le web.config, sans la recopier à chaque fois (ça me semble quand même risqué)?