Pb de guillemet !! - Base de données / SQL Server, ASP / ASP.NET

CodeS-SourceS est hébergé par Frontier.fr

Ce site au démarrage

AccueilCodesTutorielsForumsEmploiLivresConnexion

begin process at 2008 12 03 23:54:39

VIDéO : VISION DE MICROSOFT SUR LA 4èME GéNéRATION DES DATA CENTERS MODULAIRES par redo

[OPEN XML] COMPTE RENDU DII WORKSHOP DE BRUXELLES (2/2) par neodante

[OPEN XML] COMPTE RENDU DII WORKSHOP DE BRUXELLES (1/2) par neodante

[WPF] L'OBJET COLLECTIONVIEWSOURCE DE WPF, INDISPENSABLE POUR DéVELOPPER DES APPLICATIONS MéTIER ! par Thomas LEBRUN

MOBUZZ C'EST FINIT ! par orion

RE : SéLECTION D'ITEM DANS UN LISTBOX par ggtry

RE : MODIFIER L'ORDRE DES PROJET DANS UNE SOLUTION par jesusonline

RE : PROBLèME D'APPLICATION D'UNE CULTURE POUR LA MASTERPAGE par ptitkosmos

ACCEPTER CERTIFICAT SSL par Van1982

SéLECTION D'ITEM DANS UN LISTBOX par antoineraymond

+ de logiciels à télécharger

1 302 893 membres
808 nouveaux aujourd'hui
14 556 membres club

Trouver une ressource

Trouvez une ressource parmi 39 081 codes, 1 208 964 messages d'aide etc...

Recherche: dans [ Dernières recherches ]

Filtre:Tous les codes.NET uniquementExclure .NET

Vous ne trouvez pas de réponse à votre problème ? Alors posez la question dans le forum. Souvenez-vous qu'il n'y a jamais de question bête, mais rester dans l'ignorance parce que l'on n'ose pas poser une question, ça c'est une erreur !

Poser une question

Sujet : Pb de guillemet !! [ Base de données / SQL Server ] (suzukMan)

Informations & options pour cette discussion

Vous êtes ici : Thèmes / ASP.NET / Base de données / SQL Server / Pb de guillemet !!
Ce sujet vous interesse ? Cliquez ici pour être averti quand il y a une nouvelle réponse

mercredi 23 mai 2007 à 19:33:03 | Pb de guillemet !!

suzukMan

Bonsoir a tous, je devellope actuellement une application web ASP.
Je doit effectué un requete pour vérifier le nom d'utilisateur et le mot de passe c'est pourquoi je recupère les valeurs saisi dans les input type text de mon formulaire (via le request.form("elt")
Voici ma requete

Sql="select LoginName, Password from users where LoginName=" & request.form("uti") & "and Password=" & request.form("mdp")

Si vous voyez une erreur merci de me le signaler car je ne trouve sa m'embete !!

jeudi 24 mai 2007 à 00:40:06 | Re : Pb de guillemet !!

jesusonline	Bonsoir, j'espere que c'est une blague ? =) As ton avis, que se passe t'il si je met dans la textbox uti "'admin' --" ? ben je serais connecté en tant qu'admin ! Je te conseil vivement de regarder les procédures stockées qui d'une part corrigeront le problème de guillemet que tu as mais surtout rendra beaucoup plus secure ton application. Cyril - MSP - MCTS ASP.net & SQL
	Rép. MP 5882 msg 6455 msg CS

jeudi 24 mai 2007 à 09:07:06 | RE :

suzukMan

Bonjour et merci de ta réponse.

Cependant je ne suis pas d'accord avec toi tout les logins et le les mot de passe sont stocké dans une base et l'admin à aussi un mot de passe je ne voit pas le problème d'insécurité. Chaque utilisateur a un statut aussi que je vérifie celon les actions qu'il veut effectuer.
Pour revenir a mon problème je n'arrive vraiment pas a trouver l'erreur de cette requête si vous pouviez m'aider svp !!
Sachez que quand j'enleve le where sa marche sa doit être a cause d'une concaténation mal écrite nan???

Merci de votre aide

jeudi 24 mai 2007 à 10:51:48 | Re : Pb de guillemet !!

zuff

Le problème doit venir que n'as pas d'espace avant le "and" (& "and => & " and).

Effectivement, tu as un problème de sécurité. Si tu n'aimes pas les procédures stockées, voici une solution simple de protection:

Sql="select LoginName, Password from users where LoginName='" & request.form("uti").ToString.Replace("'", "`") & "' and Password='" & request.form("mdp").ToString.Replace("'", "`") & "'"

jeudi 24 mai 2007 à 12:11:43 | Re : Pb de guillemet !!

jesusonline	le probl_me est que si je met "admin' --" dans la textbox ta requete devient select LoginName, Password from users where LoginName='admin' -- ' and password = '' le -- correspond aux commentaires ... donc là tu as une ENORME faille. Cyril - MSP - MCTS ASP.net & SQL
	Rép. MP 5882 msg 6455 msg CS

jeudi 24 mai 2007 à 13:44:19 | Re : Pb de guillemet !!

zuff	Avec le replace la requete devient : select LoginName, Password from users where LoginName='admin` -- ' and password = '' et donc pas de faille !
	Rép. MP 67 msg 74 msg CS

jeudi 24 mai 2007 à 14:29:01 | Re : Pb de guillemet !!

jesusonline

oui avec le replace niveau sécu c'est mieux mais les procédures stockes ou tout simplement les requetes parametrés permette d'une part de pas avoir de sql injection et d'autre part de vérifier le type des arguments

SqlCommand command = new SqlCommand("select * from toto where machin = @truc", conn)
command.Parameters.Add("@truc", SqlDbType.int).Value = 3;

et si on passe autre chose qu'un nombre c'est .net qui plante et pas sql :-)

Cyril - MSP - MCTS ASP.net & SQL

Cette discussion est classé dans : pb, form, request, requete, guillemet

Répondre à ce message

Sujets en rapport avec ce message

pb update+guillemet [ par ganbalfro ] Bonjour, Je souhaite mettre à jours des informations concernant l’utilisateur. Cependant lorsqu’il y a un guillemet dans l’adresse il y a une erreur s Pb de guillemet dans une requete [ par matlocker ] Bojour,J'ai un probleme de guillemet dans ma requete. NomSal="toto"SQL= "SELECT CONGES.Periode, CONGES.Type FROM SALARIE INNER JOIN CONGES ON SALARIE. ASP probleme d'insertion de requete sql dans une variable [ par ChasseurDeChimeres ] Bonjour;Nouvellement débarqué dans les monde de l'asp, je bloque aujourd'hui sur une requéte sql. Plutôt habitué à résoudre mes bugs par moi même ou a messagerie [ par inessa ] bonjour Dans ces lignes que j'ai trouvé dans une mini messagerie j'ai pas compris ce que veut dire "Trim"txta=Trim(Request.Form("txta"))txtobjet=<fon Ajout d'enregistrement dans une BD [ par matlocker ] Lorsque j'ajoute un enregistrement dans ma base de donnée, il m'ajoute d'abord une ligne blanche, puis l'enregistrement que j'ai saisie. A qou cela es probleme de passage de variable asp>>flash ( et non linverse) [ par mrzinj ] Tout d'abord bonjours a tous et desolé si le message n'est pas dans la bonne categorie mais vu que mon apps sert pourun envoi de mail je me suis dit q "If" dans une boucle "For" [ par Minid ] Bonjour à tous,Quelqu'un aurais la gentillesse de m'expliquer pourquoi ceci ne fonctionne pas ?CodeFor counter = 1 To Request.Form("Q1").Count choic asp et sql [ par nicole66 ] Bonjour,J'ai un formulaire où une personne peut s'inscrire à un cours et choisir le modules auxquels il veut participer. Avec un post l'iscription ce Mon script de formulaire est il correcte ? [ par arnaudperfect ] Bonjour,Je suis un débutant en ASP.J'essaie de créer un script pour faire le traitement d'un formulaire (l'envoyé par email)J'ai rien pour le testé, j Erreur de syntaxe après requête SQL insert [ par syl62 ] Bonjour à tous et meilleurs voeux pour cette année 2007!!!je rencontre un problème concernant une requête SQL INSERT. Pour un champ bien précis, dès q