Validation de l'entrée utilisateur
Lorsque vous construisez une application qui accède à des données, vous devez assumer que toutes les entrées utilisateur sont malveillantes jusqu'à preuve du contraire. Dans le cas contraire, vous risquez d'exposer votre application à des attaques. L'un des types d'attaques qui peuvent survenir porte le nom d'injection SQL ; du code malveillant est ajouté à des chaînes qui sont passées ultérieurement à une instance de SQL Server à des fins d'analyse et d'exécution. Pour éviter ce type d'attaque, vous devez utiliser des procédures stockées avec des paramètres dans la mesure du possible, et toujours valider l'entrée d'utilisateur.
La validation de l'entrée utilisateur dans le code client est importante afin de ne pas gaspiller d'allers-retours vers le serveur. Il est également important de valider les paramètres des procédures stockées sur le serveur afin d'intercepter les entrées non valides et qui contournent la validation côté client.
Pour plus d'informations sur l'injection SQL et comment l'éviter, consultez la rubrique « Injection SQL » dans la documentation en ligne SQL Server 2005. Pour plus d'informations sur la validation des paramètres de procédure stockée, consultez « Procédures stockées (Moteur de base de données) » et les rubriques subalternes dans la documentation en ligne SQL Server 2005.