Vérification pour éviter les SQLinjections

Vérification pour éviter les SQLinjections - Java - Programmation

Marsh Posté le 03-07-2007 à 18:09:00    

Bonjour,
 
petit question, je souhaite faire une vérification des champs que mes utilisateurs vont remplir. Afin de pas injecter de la merde dans mes requêtes.
 
J'ai trouvé ceci :  
 
http://www.owasp.org/index.php/Pre [...] on_in_Java
 
C'est cool, je pourrais aussi utiliser hivernate, mais :
 
1_ j'ai pas besoin de 1000 requêtes dans mon code.
2_ j'utilise une Api d'une application. Et donc elle me permet de faire ceci :
 

Code :
  1. Class.meth("statement" );


 
Et op ça fait tout le reste tout seul.
 
Donc je voudrais un truc plus comme une fonction qui permet de me renvoyer si oui ou non les valeurs n'ont pas l'ai cheater :
 

Code :
  1. Class.meth("select * from coucou where ole="+verif(param));


 
Voilà un collègue a entendu parler d'un truc "escape", mais je trouve rien en correspondance...
 
Donc je me référe à HFR ;)
 
Thxx

Reply

Marsh Posté le 03-07-2007 à 18:09:00   

Reply

Marsh Posté le 04-07-2007 à 10:16:14    

perso je dirais déja de ne pas utiliser l'exécution simple du query mais un PreparedStatement, c'est autrement plus propre et du coup ton sql injection n'est plus possible

Reply

Marsh Posté le 04-07-2007 à 10:58:16    

casimimir a écrit :

perso je dirais déja de ne pas utiliser l'exécution simple du query mais un PreparedStatement, c'est autrement plus propre et du coup ton sql injection n'est plus possible


+0x125049a5 :o

 

Quand on utilise un vrai langage (autre que PHP, donc, tout du moins pour toute valeur de PHP < 5.1) ON NE FAIT JAMAIS DE CONCATENATION MANUELLE POUR CREER UNE QUERY SQL BORDEL DE SAC A FOUTRE

 

En plus c'est la première solution que ton lien donne, les prepared statements [:mlc]


Message édité par masklinn le 04-07-2007 à 10:59:38

---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
Reply

Marsh Posté le 05-07-2007 à 20:33:59    

Ouais je sais ...

 

Mais là vue que je suis dépendant d'une API... je sais pas si je peux faire ça  ;)

 

EDIT :  Hum, je pense avoir compris comment faire ça avec leur fonction...
Vive les javadocs sans commentaires :P


Message édité par xtof_83 le 05-07-2007 à 21:19:03
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed