[Résolu] Sécuriser les entrées utilisateurs avec du raw sql ? • Forum • Zeste de Savoir

Teillo, lundi 08 février 2016 à 13h54
Modifié

Après mon précédent post sur ajax ou @artragis me disait à juste titre que mon code, en l'état, était vulnérable aux injections de sql :x

        [HttpPost]
        public ActionResult CheckReturn(TitreWrapper titreWrap)
        {
            string titre = titreWrap.titre;

            var contexte = new intranetEntities();
            var ajax = contexte.evenementiel.SqlQuery("SELECT * FROM evenementiel WHERE titrebri_evenementiel LIKE '%"+ titre +"%' ORDER BY datecreation_evenementiel DESC;");

            ViewBag.ajax = ajax;

            return PartialView();
        }

effectivement, il l'est, donc j'ai cherché et découvert les "Parameterized Queries" c'est à dire les requêtes paramètrées. Et pour l'implémentation, ça coince J'ai commencé par faire ça :

string titre = titreWrap.titre;

            SqlParameter[] param = new SqlParameter[1];
            param[0] = new SqlParameter("@titre", titre);

            var contexte = new intranetEntities();
            var ajax = contexte.evenementiel.SqlQuery("SELECT * FROM evenementiel WHERE titrebri_evenementiel LIKE '%@titre%' ORDER BY datecreation_evenementiel DESC;");

mais ça marchait pas, le "@titre" n'est pas reconnu comme une variable, alors j'ai aussi essayé ça :

string titre = titreWrap.titre;

            SqlParameter[] param = new SqlParameter[1];
            param[0] = new SqlParameter("@titre", titre);

            var contexte = new intranetEntities();
            var ajax = contexte.evenementiel.SqlQuery("SELECT * FROM evenementiel WHERE titrebri_evenementiel LIKE '%" + param[0] +"%' ORDER BY datecreation_evenementiel DESC;");

(ç'aurait été idiot si ça avait marché mais bon.....)

enfin, je sais qu'il existe des façons de faire avec LINQ, ou d'autres trucs mais ça me forcerait à réécrire tout ou partie de mon code (ce que je veux éviter)

Quelqu'un sait ce que je dois faire ?

EDIT : J'ai trouvé le LINQ, réussi à faire ça :

1	var ajax = contexte.evenementiel.Where(x => x.titrebri_evenementiel.Contains(titre)).OrderByDescending(x => x.datecreation_evenementiel);

qui… marche ? les injections semblent ne pas passer mais les résultats de cette requête ne sont pas les mêmes qu'avec SQL, du coup j'aime pas trop :/

08/02/16 à 13h54
Modifié

+0 -0

artragis, lundi 08 février 2016 à 15h04
Modifié

qui… marche ? les injections semblent ne pas passer mais les résultats de cette requête ne sont pas les mêmes qu'avec SQL, du coup j'aime pas trop :/

Quels étaient les résultats précédents qui ne sont plus présents maintenant? Linq est une méthode standard et plutôt efficace pour faire des requêtes SQL, donc j'ai tendance à t'encourager à le faire.

contexte.evenementiel.SqlQuery("SELECT * FROM evenementiel WHERE titrebri_evenementiel LIKE '%@titre%' ORDER BY datecreation_evenementiel DESC;");

Si tu veux faire un paramètre, il ne faut pas qu'il soit précédé par autre chause que @.

Du coup si tu veux mettre des wildcards dans ton LIKE, il faut que tu fasses `contexte.evenementiel.SqlQuery("SELECT * FROM evenementiel WHERE titrebri_evenementiel LIKE '@titre' ORDER BY datecreation_evenementiel DESC;"); puis que tu passes comme valeur à ta requête "%" + param[0] + "%".

PPS : avec Linq la méthode la plus sûre est :

IEnumerable<evenementiel> events = from event in contexte.evenementiel
                                   where SqlMethods.Like(event.titrebri_evenementiel, "%" + titre + "%")
                                   select event
                                   order by event.date_evenementiel;

08/02/16 à 15h04
Modifié

+1 -0

Teillo, lundi 08 février 2016 à 15h19

Quels étaient les résultats précédents qui ne sont plus présents maintenant?

les résultats étaient ceux de la requête, et la méthode Linq et SQL ne retournaient pas les mêmes choses EXACTEMENT

Du coup, je vais faire comme tu dis je pense aussi que linq (bien que **) est la meilleure solution (comme ça j'apprend un nouveau truc)

Il y a pas de tutos pour linq sur zds ?

08/02/16 à 15h19

+0 -0

artragis, lundi 08 février 2016 à 15h24

les résultats étaient ceux de la requête, et la méthode Linq et SQL ne retournaient pas les mêmes choses EXACTEMENT

j'entendais par là : peux-tu me donner les résultats de la requête "raw" puis ceux de la requête "linq" et on regarde.

08/02/16 à 15h24

+0 -0

Teillo, lundi 08 février 2016 à 15h38

(je suis en train de récupérer les résultats mais iis express m'a lâché)

08/02/16 à 15h38

+0 -0

Teillo, lundi 08 février 2016 à 16h18

bon, voilà pour le code avec linq (celui de mon exemple) :

et pour le sql cru :

08/02/16 à 16h18

+0 -0

artragis, lundi 08 février 2016 à 16h37

Il y a pas de tutos pour linq sur zds ?

il y a un tuto sur l'entity framework qui se base sur link au sein du tuto asp.net.

Sinon pour ce qui est des résultats, tu cherchais quel mot exact pour avoir ces résultat? En effet, j'ai l'impression que tu cherchais "test" dans le cas "sql brut" et totalement autre chose dans le cas "linq".

08/02/16 à 16h37

+0 -0

Teillo, lundi 08 février 2016 à 16h58

merci

non, je cherche test dans les deux cas, je change seulement cette ligne :

1	var ajax = contexte.evenementiel.SqlQuery("SELECT * FROM evenementiel WHERE titrebri_evenementiel LIKE '%"+titre+"%' ORDER BY datecreation_evenementiel DESC;");

par celle-là :

1	var ajax = contexte.evenementiel.Where(x => x.titrebri_evenementiel.Contains(titre)).OrderByDescending(x => x.datecreation_evenementiel);

08/02/16 à 16h58

+0 -0

Teillo, mardi 09 février 2016 à 14h56

Je sais pas si tu es encore là, mais j'essaie encore un peu les requêtes parametrées et je sais pas pour quoi ça ne marche pas ici ?

var ajax = contexte.evenementiel.SqlQuery("SELECT * FROM evenementiel WHERE titrebri_evenementiel LIKE @titre_param ORDER BY datecreation_evenementiel DESC;", new SqlParameter("@titre_param", ("'%" + titre + "%'")));

en mettant un point d'arrêt, il me semble que le "@titre" n'est pas reconnu comme une variable.

09/02/16 à 14h56

+0 -0

artragis, mardi 09 février 2016 à 15h41
Modifié

A mon humble avis : titre n'a pas de valeur (au départ tu utilisais param[0])

09/02/16 à 15h41
Modifié

+0 -0

Teillo, mardi 09 février 2016 à 16h55

j'ai mis une valeur fixe pour essayer, et c'est pas mieux

var ajax = contexte.evenementiel.SqlQuery("SELECT * FROM evenementiel WHERE titrebri_evenementiel LIKE @titre_param" + " ORDER BY datecreation_evenementiel DESC;", new SqlParameter("@titre_param", "'%ouverture%'"));

PS : cette ligne seule s'occupe de tout, il n'y a pas de déclaration de paramètres ailleurs

09/02/16 à 16h55

+0 -0

artragis, mardi 09 février 2016 à 17h17

Bon y'a un gros problème déjà tu mixe l'utilisation de ADO.NET/Entity Framework avec l'utilisation de sql brut. Ce genre de requêtes c'est uniquement si tu veux faire des optimisations bien complexes, pas pour jouer avec des select simples.

Ensuite, les quotes autour de ton "%ouverture%" sont de trop.

09/02/16 à 17h17

+1 -0

Teillo, mardi 09 février 2016 à 17h25

bravo, c'était effectivement les quotes qui étaient de trop ._.

sinon oui, j'imagine que je mélange plein de choses, mais cette façon de faire est à mes yeux la plus "évidente" : je comprend tout ce que je fais.

Qu'est ce que je mélange exactement ? plusieurs façons de faire les appels ?

09/02/16 à 17h25

+0 -0

artragis, mardi 09 février 2016 à 17h39

bah en fait quand tu fais de l'entity framework, tu utilises linq. Le truc fonctionne vraiment très bien et fait les bons liens avec les données et a même le bon goût de te générer des objets facilement manipulables.