Partager via


Validation de l'entrée utilisateur

Télécharger le pilote JDBC

Lorsque vous construisez une application qui accède à des données, vous devez assumer que toutes les entrées utilisateur sont malveillantes jusqu'à preuve du contraire. Si vous ne le faites pas, votre application sera vulnérable aux attaques. L’injection SQL est un des types d’attaques qui peut se produire. Avec cette attaque, du code malveillant est ajouté à des chaînes transmises à une instance de SQL Server à des fins d’analyse et d’exécution. Pour éviter ce type d'attaque, vous devez utiliser des procédures stockées avec des paramètres dans la mesure du possible, et toujours valider l'entrée d'utilisateur.

La validation de l'entrée utilisateur dans le code client est importante afin de ne pas gaspiller d'allers-retours vers le serveur. Il est tout aussi important de valider les paramètres des procédures stockées sur le serveur. De cette façon, l’entrée est interceptée et ignore la validation côté client.

Pour plus d’informations sur l’injection de code SQL et sur la façon de l’éviter, consultez Injection de code SQL. Pour plus d’informations sur la validation des paramètres de procédure stockée, consultez Procédures stockées et les articles connexes.

Voir aussi

Sécurisation des applications du pilote JDBC