> Data > Comment éviter les attaques par injection de code SQL

Comment éviter les attaques par injection de code SQL

Data - Par iTPro.fr - Publié le 24 juin 2010

Windows

par William Sheldon - Mis en ligne le 23/11/2005 - Publié en Décembre 2004

Au moment de définir votre infrastructure de sécurité, la protection des données de votre organisation constitue votre principal objectif. SQL Server, en tant que référentiel de données, devient le centre de votre univers axé sur la sécurité. Pour sécuriser vos données, vous avez exécuté l'outil MBSA (Microsoft Baseline Security Analyzer), limité les communications avec la base de données, mis en oeuvre le protocole IPSec (Internet Protocol Security) afin de crypter vos communications et peut-être même ajouté un pare-feu séparé. Malgré tout, il reste un moyen pour les intrus d'attaquer votre base de données : par le biais des applications qu'elle prend en charge. Toute stratégie de sécurité comporte un maillon faible et, du point de la conception, l'élément le plus faible de votre stratégie sera l'application Web car elle constitue le principal point d'entrée pour les intrus, les autres chemins d'accès possibles ayant normalement été verrouillés. Toutefois, une gestion incorrecte de ce point d'entrée peut rendre vos données vulnérables à l'attaque potentiellement dévastatrice qu'est l'injection de code SQL. Ce type d'attaque est extrêmement dommageable car elle permet aux intrus d'exécuter des commandes directement sur votre base de données.

Pour minimiser votre vulnérabilité aux attaques par injection de code SQL, vous
pouvez définir des couches de protection au niveau de votre base de données. Cet
article a pour objet d’expliquer comment mettre en place deux de ces couches : le
filtrage des saisies utilisateur et la limitation des autorisations des utilisateurs. Mais
avant de mettre en oeuvre une défense efficace contre les attaques par injection de
code SQL, vous devez comprendre les mécanismes de ce type d’attaque.
Commençons par créer un exemple de scénario d’injection afin de mieux appréhender
la menace à laquelle vous êtes confronté.

Téléchargez cette ressource

Plan de sécurité Microsoft 365

Les attaquants savent comment prendre le contrôle de votre tenant Microsoft 365, et vous, savez-vous comment le reprendre en main ?

Les articles les plus consultés

A travers cette chaîne

A travers ITPro

Les plus consultés sur iTPro.fr

Articles les + lus

La visibilité des données, rempart ultime aux dérives du « Shadow AI »

Scality bouscule le marché du stockage avec une cyber garantie de 100 000 $

De la donnée brute à l’actif stratégique : une approche produit

L’essor de l’IA propulse les cyberattaques à des niveaux records

Face aux ransomwares, la résilience passe par les sauvegardes immuables

A lire aussi sur le site

State of DevSecOps 2026 : la sécurité glisse vers la chaîne d’approvisionnement logicielle

Selon le rapport State of DevSecOps de Datadog, près de 9 organisations sur 10 présentent au moins une vulnérabilité exploitable connue dans leurs environnements déployés. Ce constat traduit une mutation du secteur : les failles se déplacent désormais en amont du cycle de développement, au cœur même de la chaîne d’approvisionnement logicielle.

À la une de la chaîne Data

Devenir ingénieur en intelligence artificielle

Cette transformation numérique massive redessine les métiers, les compétences et les parcours de formation. Au cœur de cette révolution se trouve l’ingénieur en intelligence artificielle, un expert capable de concevoir des systèmes informatiques qui imitent certaines capacités humaines comme l’apprentissage ou la prise de décision.