paramétrage en VBScript/ASP Classic et ADO

Question

Je suis un peu confus ici.Pour autant que je sache, Microsoft affirme que la paramétrisation est le meilleur moyen de protéger votre base de données contre les attaques par injection SQL.Mais je trouve ici deux sources d’informations contradictoires :

Cette page dit d'utiliser l'objet de commande ADO.Mais cette page indique que l'objet de commande n'est pas sécurisé pour les scripts.Il me semble avoir lu quelque part que l'objet de commande ne devrait pas être utilisé dans VBScript ou JScript en raison de vulnérabilités de sécurité, mais je n'arrive pas à trouver cet article.

Est-ce que j'ai raté quelque chose ici, ou ces deux articles semblent-ils se contredire ?

Answer 1

Je peux me tromper ici, mais je pense que cela signifie simplement que quelqu'un pourrait utiliser l'objet Command pour faire de mauvaises choses.C'est à dire.il n'est pas fiable si quelqu'un d'autre l'écrit.

Voir sans danger pour les scripts dans cet article.Chaque instance qui parle de cette phrase en ligne y fait référence comme si vous marquiez un contrôle ActiveX en disant "Ce contrôle n'effectue aucune E/S ou ne répond qu'au serveur d'où il provient", mais l'objet Command ne le fait pas.Il peut être utilisé pour faire beaucoup de choses qui pourraient être dangereuses.

Le "sûr" dont ils parlent et le "sûr" pour empêcher l'injection SQL sont deux choses différentes.L'article sur l'utilisation de l'objet ADO Command pour paramétrer vos données est parfait.Tu devrais faire ça.

Et Microsoft le confirme en outre ici :

http://msdn.microsoft.com/en-us/library/ms676585(v=VS.85).aspx

Answer 2

Je pense que "sans danger pour les scripts" signifie "peut être exécuté en toute sécurité à partir d'une page Web que nous venons de récupérer auprès d'un prince nigérian".L'objet de commande doit pouvoir être exécuté en toute sécurité sur le serveur.

Mais au travail, à l'époque, mes collègues n'y faisaient pas confiance, nous avions donc un cadre interne qui faisait essentiellement la même chose.