Requête paramétrée
Qu'est-ce que Requête paramétrée ?
Requête paramétréeRequête de base de données dont les valeurs sont transmises séparément du texte SQL via des espaces réservés, de sorte que l'entrée utilisateur ne peut pas modifier sa structure.
Une requête paramétrée (ou requête préparée) permet au développeur de précompiler un modèle SQL avec des marqueurs tels que « ? » ou « :id », puis d'y lier des valeurs. Le moteur traite ces paramètres strictement comme des données — jamais comme du SQL —, si bien qu'une entrée contenant des guillemets, points-virgules ou commentaires ne peut pas changer la logique. C'est la mitigation canonique contre l'injection SQL (CWE-89), prise en charge par presque tous les pilotes et ORM. Elles doivent être la valeur par défaut pour tout SQL incluant des entrées non fiables, en complément de comptes BDD à moindre privilège, de validation en liste blanche et d'API d'ORM sûres pour les identifiants dynamiques.
● Exemples
- 01
Utiliser « SELECT * FROM users WHERE id = ? » avec un paramètre entier lié plutôt que de concaténer l'ID.
- 02
Employer des paramètres nommés en PDO ou psycopg avec un dictionnaire de valeurs plutôt qu'un formatage de chaîne.
● Questions fréquentes
Qu'est-ce que Requête paramétrée ?
Requête de base de données dont les valeurs sont transmises séparément du texte SQL via des espaces réservés, de sorte que l'entrée utilisateur ne peut pas modifier sa structure. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Requête paramétrée ?
Requête de base de données dont les valeurs sont transmises séparément du texte SQL via des espaces réservés, de sorte que l'entrée utilisateur ne peut pas modifier sa structure.
Comment se défendre contre Requête paramétrée ?
Les défenses contre Requête paramétrée combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Requête paramétrée ?
Noms alternatifs courants : Requête préparée, Requête à paramètres liés.