En C# nous utilisons souvent l'opérateur "+" pour concaténer des chaines de caractères, mais lorsque nous utilisons cette méthode pour la construction de requêtes SQL nous nous exposons à des problèmes de sécurité comme les injections SQL. Pour remédier à ce problème, nous pouvons utiliser les paramètres pour la construction de commandes SQL.
Mauvaise méthode :
[code:c#]
SqlCommand maRequete = new SqlCommand("SELECT COUNT(*) FROM Utilisateur WHERE Login='" + login + "' AND Password='" + password + "'", conn);
[/code]
Bonne méthode :
[code:c#]
SqlCommand maRequete = new SqlCommand("SELECT COUNT(*) FROM Utilisateur WHERE Login=@login AND Password=@password", conn);
SqlParameter pLogin = new SqlParameter("login", SqlDbType.VarChar, 100);
pLogin.Value = login;
maRequete.Parameters.Add(pLogin);
pPass = new SqlParameter("password", SqlDbType.VarChar, 100);
pPass.Value = password;
maRequete.Parameters.Add(pPass);
[/code]
A bientôt
Lire la suite...
Tags:
sql
Catégorie :
ADO.NET
Une question sur cet article? n'hésitez pas a me contacter par Live Messegner. Suis-je connecté? 
Soyez le premier à noter ce billet
- Currently 0/5 Stars.
- 1
- 2
- 3
- 4
- 5
|
Commentaires (1) |
Post RSS |