Partager via

Considérations sur la sécurité (EntityDataSource)

  • Article

Mise à jour : novembre 2007

Il existe des considérations sur la sécurité spécifiques au contrôle EntityDataSource, outre celles relatives au développement, au déploiement et à l'exécution des applications Entity Framework. Outre les informations données dans cette rubrique, vous devez également suivre les recommandations sur la création d'applications .NET Framework sécurisées. Pour plus d'informations, consultez Considérations sur la sécurité (Entity Framework).

Considérations générales sur la sécurité

La liste suivante décrit les considérations sur la sécurité spécifiques au contrôle EntityDataSource.

  • Niveau de privilège
    Le composant ouvre une connexion à l'aide de la chaîne de connexion fournie. Le niveau de privilège de la connexion dépend de la configuration de la connexion et du serveur.

  • Contrôle d'accès
    Les pages qui peuvent produire des requêtes avec un coût élevée doivent faire l'objet d'une protection par contrôle d'accès.

  • Entrée non vérifiée
    L'entrée non vérifiée de fragments de requête ou de requêtes complètes ne doit pas être exposée côté client. Les applications doivent toujours utiliser des paramètres comme entrée pour les requêtes.

  • Sécurité des threads
    Le composant n'est pas thread-safe car ASP.NET ne le requiert pas.

  • Messages d'exception
    Entity Framework expose des fragments d'informations de métadonnées dans les messages d'exception. Le contrôle EntityDataSource n'essaie pas d'éviter ce type d'exposition des métadonnées.

  • Validation des appels de publication (postback)
    Par défaut, ASP.NET valide les arguments possibles pour les appels de publication (postback) sur le serveur. La désactivation de cette fonctionnalité peut sévèrement compromettre la sécurité des applications Web.

  • Trace de la pile
    Par défaut, ASP.NET n'affiche pas la trace de la pile des exceptions dans la page d'erreurs. L'activation de cette fonctionnalité peut entraîner la divulgation de certains détails des métadonnées, car certains messages d'exception peuvent contenir des fragments de métadonnées.

Voir aussi

Autres ressources

Sécurisation des applications ADO.NET

Vue d'ensemble du contrôle serveur Web EntityDataSource

Sélection de données à l'aide du contrôle EntityDataSource

ADO.NET Entity Framework

Considérations sur la sécurité (Entity Framework)