GoldenCrystal (./8) :
Et tu crois vraiment qu'on peut pas faire d'injection SQL dans une application "client lourd" ? Vraiment ?
Si les permissions de la BDD sont définis correctement, l'utilisateur ne pourra attaquer que lui-même, pas très intéressant.
Une fois de plus, l'envoi direct de SQL n'est possible que si on peut envoyer
n'importe quel SQL sans avoir accès aux données des autres utilisateurs. Alors que si c'est ta couche API qui fait en logiciel ce pour quoi les BDD prévoient les vues, et construit donc des requêtes de type
SELECT * FROM everything WHERE user_id=31337 AND critere_machin="entrée utilisateur";, c'est une invitation pour les entrées de type
" OR ""=".
Une fois de plus, l'envoi direct de SQL n'est possible que si on peut envoyer n'importe quel SQL sans avoir accès aux données des autres utilisateurs. Alors que si c'est ta couche API qui fait en logiciel ce pour quoi les BDD prévoient les vues, et construit donc des requêtes de type SELECT * FROM everything WHERE user_id=31337 AND critere_machin="entrée utilisateur";, c'est une invitation pour les entrées de type " OR ""=".