Sécurité, injection SQL
Posté : jeu. 11 janv. 2018 14:06
Merci à un développeur pour sa question :
dans le billet sur les instructions préparées il est écrit dans la partie sur oracle que ne pas utiliser les bind variables est une faille de sécurité. pourquoi ? est-ce qu'en utilisant les instructions préparées postgresql on évite automatiquement la faille de sécurité ?
Réponse :
Ne pas utiliser de bind variables rend le code fragile en ce qui concerne les injections SQL. Ce type de faille peut survenir lorsqu'un utilisateur a la possibilité d'ajouter du code SQL à votre propre code SQL pour détourner le but initial de la requête.
NON utiliser les instructions préparées ne protège PAS en soi des injections SQL. Si vous collectez les informations saisies par les utilisateurs et que vous les concaténez simplement avec votre code SQL pour construire la requête alors la préparer ou non ne change rien au niveau sécurité. Voir https://pgphil.ovh/injection_sql_10_01.php pour plus de détails.
dans le billet sur les instructions préparées il est écrit dans la partie sur oracle que ne pas utiliser les bind variables est une faille de sécurité. pourquoi ? est-ce qu'en utilisant les instructions préparées postgresql on évite automatiquement la faille de sécurité ?
Réponse :
Ne pas utiliser de bind variables rend le code fragile en ce qui concerne les injections SQL. Ce type de faille peut survenir lorsqu'un utilisateur a la possibilité d'ajouter du code SQL à votre propre code SQL pour détourner le but initial de la requête.
NON utiliser les instructions préparées ne protège PAS en soi des injections SQL. Si vous collectez les informations saisies par les utilisateurs et que vous les concaténez simplement avec votre code SQL pour construire la requête alors la préparer ou non ne change rien au niveau sécurité. Voir https://pgphil.ovh/injection_sql_10_01.php pour plus de détails.