Discussion :

[bolo]

Bonjour tout le monde,

J'ai terminé une petit script. Ca marche pas de problème mais j'aimerai avoir des conseil pour le sécurisé.

1. Bien récuper ID de la transaction qui vient d'être ajouter
2. Comment lutter contre les insertion SQL
3. Comment mettre un Timeout

et toutes les choses que j'aurais pu oublier

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
using System.Configuration;
using System.Collections;
using System.Web;
using System.Web.Mail;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Web.UI.HtmlControls;
 
public partial class defaultPage : System.Web.UI.Page
{
    string sRefTrasaction;
    protected void Page_Load(object sender, EventArgs e)
    {
        if (!IsPostBack)
        {
            int[] aValues = new int[91];
            int iValue = 10;
            for (int i = 0; i < 91 ; i++)
            {
                aValues[i] = iValue++;
            }
            montantDD.DataSource = aValues;
            montantDD.DataBind();
            //focus sur les champs formualaire
            montantDD.Attributes.Add("onchange", "updateMessage()");
            emailTB.Attributes.Add("onblur", "updateMessage()");
            libre.Attributes.Add("onclick", "getChoice(this)");
            libre.Attributes.Add("value", "usage libre");
            restreint.Attributes.Add("onclick", "getChoice(this)");
            restreint.Attributes.Add("value", "usage restreint");
        }
        IDmessage.Text = "";
 
    }
 
 
    protected void submit_change_Click (object sender, EventArgs e) 
    {
        //Création d'un nouvelle transaction
        sRefTrasaction = DateTime.Now.Year.ToString() + DateTime.Now.Month.ToString("D2");
        if (Page.IsValid)
        {
            // Création de la transaction
            createTransaction_Web();
        }
 
    }
    // //////////////////////////////////////////////
    // Création d'un nouvelle transaction 
    // Table: Transaction_Web
    /// /////////////////////////////////////////////
    private void createTransaction_Web()
    {
       ConnectionStringSettings settings;
       Int32 newProdID = 0;
       settings = ConfigurationManager.ConnectionStrings["DatabaseConnection"];
       string sRq1 = "INSERT INTO ********************"
               + "(****)"
               + "VALUES('" + DateTime.Now.ToString() + "','', '0','0','0','','','');"
               + "SELECT CAST(scope_identity() AS int)";
        if (settings != null)
        {
            using (SqlConnection conn = new SqlConnection(settings.ConnectionString))
            {
                SqlCommand cmd = new SqlCommand(sRq1, conn);
                try
                {
                    conn.Open();
                    // Création d'une nouvelle transaction vide
                    newProdID = (Int32)cmd.ExecuteScalar();
                    sRefTrasaction = "g"+sRefTrasaction+"FR"+newProdID.ToString();
                    ************************
                    string sType = "0";
                    if (libre.Checked)
                    {
                        sType = "1";
                    }else
                    {
                        sType ="0";
                    }
                    //Modifier la transation
                    string sRq2 = "UPDATE ******"
                                  + " SET RefExpay ='" + sRefTrasaction + "',"
                                  + "Montant='" + montantDD.SelectedValue + "',"
                                  + "AccesRestreint='" + sType + "',"
                                  + "AdresseEmail='" + emailTB.Text + "',"
                                  + "ClePerso='" + clefTB.Text + "',"
                                  + "AdresseIP='" + Session["IP"] + "'";
                    cmd.CommandText = sRq2;
                    cmd.ExecuteNonQuery();
                    // Si Paybox Retour OK
                    if (true)
                    {
                        Session["email"] = emailTB.Text;
                        Session["montant"] = montantDD.SelectedValue;
                        Session["type"] = sType;
                        // Affiche la page de confirmation
                        Response.Redirect("confirmation.aspx");
                    }
                    else
                    {
                        // Affiche la page d'erreur
                        Response.Redirect("erreur_PayBox.aspx");
                    }
                    //
                    //Ferme la connection
                    conn.Close();
                }
                catch (Exception e)
                {
                    sendExection(e.Message);
                }
            }
        }
    }
 
    // //////////////////////////////////////////////
    // Envoyer un message avec l'erreur 
    // Table: Transaction_Web
    /// /////////////////////////////////////////////
 
    protected void sendExection(string sMessage)
    {
        MailMessage oEmail = new MailMessage();
        string sUtilisateur = ConfigurationSettings.AppSettings["SmtpUtilisateur"];
        string sPassword = ConfigurationSettings.AppSettings["SmtpPassword"];
        string sServeur = ConfigurationSettings.AppSettings["SmtpServeur"];
 
        oEmail.From = sUtilisateur;
        oEmail.To = sUtilisateur;
        oEmail.Subject = "Erreur du Site Guichet";
        oEmail.Body = sMessage;
        SmtpMail.SmtpServer = sServeur;
 
        oEmail.Fields.Add("http://schemas.microsoft.com/cdo/configuration/smtpauthenticate", "1");
        oEmail.Fields.Add("http://schemas.microsoft.com/cdo/configuration/sendusername", sUtilisateur);
        oEmail.Fields.Add("http://schemas.microsoft.com/cdo/configuration/sendpassword", sPassword);
 
        try
        {
            SmtpMail.Send(oEmail);
        }
        catch (Exception e)
        {
            IDmessage.Text = e.Message;
        }
    }
}

mon fichier web.config

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?xml version="1.0"?>
<configuration xmlns="http://schemas.microsoft.com/.NetConfiguration/v2.0">
	<appSettings>
		<add key="SmtpServeur" value="*********" />
		<add key="SmtpUtilisateur" value="*****" />
		<add key="SmtpPassword" value="*****" />
	</appSettings>
	<connectionStrings>
		<add name="DatabaseConnection" connectionString="database=****;server=****;uid=*****;pwd=****" providerName="System.Data.SqlClient"/>
	</connectionStrings>
	<system.web>
		<customErrors mode="Off"/>
		<compilation debug="true"/></system.web>
</configuration>

[bolo]

personne pour des conseils

[Mose]

1 - Pour sécuriser une appli, vaut mieux utiliser des procédures stockées.
2 - pour lutter contre l'insertion SQL, y'a un champ ValidationEnabledchepakoi dans la directive page de ton aspx (la doc est ton amie)
3 - mettre un timeout :
* la meilleure solution consiste à travailler en asynchrone, mais c'est pas à la portée d'un débutant http://msdn.microsoft.com/msdnmag/is...e/default.aspx
* sinon tu peux jouer sur la session : on peut paraméter sa durée de vie dans le web.config.

[bolo]

Bon j'ai reussi a faire ma procédure stockée.

le fichier sql je le place où dans mon application asp.net ?

Comment je peux lier ce fichier à mon code

merci

Pour l'instant j'ai ce message

Syntaxe incorrecte vers 'GetIDTransaction'.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
private void createTransaction_Web()
    {
       ConnectionStringSettings strConnexion;
       Int32 iIDTransation = 0;
       strConnexion = ConfigurationManager.ConnectionStrings["DatabaseConnection"];
       string strProcedureStockee = "GetIDTransaction";
       if (strConnexion != null || strConnexion.ConnectionString.Trim() == "")
        {
            string strConString = strConnexion.ConnectionString;
           try
            {
                SqlConnection oConnection = new SqlConnection(strConString);
                SqlCommand oCommand = new SqlCommand(strProcedureStockee, oConnection);
 
                //Création de la dateTransaction
                SqlParameter oParam = oCommand.Parameters.Add("@DateTransation", SqlDbType.DateTime, 8, "DateTransation");
                oParam.Value = DateTime.Now.ToString();
 
                //Ouverture de la connection
                oConnection.Open();
 
                //Récupère Id
                iIDTransation = (Int32)oCommand.ExecuteScalar();
 
 
                /* MISE A JOUR DE LA TRANSACTION AVEC LES DONNEES DU FORMULAIRE */
 
                //
                //Ferme la connection
                oConnection.Close();
 
            }
            catch (Exception e)
            {
 
                //sendExection(e.Message);
                IDmessage.Text = e.Message;
            }
        }
    }

[bolo]

Oups j'avais oublié de mettre ma procédure

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
CREATE PROCEDURE GetIDTransaction 
	-- Add the parameters for the stored procedure here
	@DateTransation		string
AS
 
IF NOT @DateTransation IS NULL
	BEGIN
		INSERT INTO TRANSACTIONS_Guichet (DateTransaction, RefExpay,Montant,AccesRestreint,Valide,AdresseEmail,ClePerso,RemonteeBackOffice) VALUES('@DateTransation','', '0','0','0','','','')
		SELECT @@IDENTITY AS 'Identity'
	EN

[Poulain]

il faut ajouter, apres avoir déclaré ton command:

command.commandtype= machinbidul.procedurstckée

Enfin, tu devrais reussir avec ce que je t'ai donné...

[bolo]

j'ai fais la correction j'ai ca

Procédure stockée 'GetIDTransaction' introuvable.

[Poulain]

Ben, normalement, dans ta base de données, tu as un répertoir "table" et un "procedures stockées" il faut mettre ta procedure dans ce repertoire.

[bolo]

ce que j'ai fait, j'ai enregistré le fichier sql dans mon application.

Mais dans le dossier procédure stockée je ne la vois pas

[Poulain]

Eh bien, normalement, ben tu ne peux pas l'ajouter?

[bolo]

Oui j'ai ca.
1. je crée une nlle procédure
2. je clique sur enregistrer
3. J'ai créer un dossier sql dans mon application et je la place

Voila ce que je fait

Normalement je devrais la voir dans le dossier Prodédure stockée ?

[bolo]

Est ce que c'est normal que la procédure stockée s'enregistre au format SQL.

Je croyais que la procédure stockée se créer sur la bdd

[Poulain]

oui, normalemnt, tu les trouves dans la bdd.

Justement, dans le repertoire procedures stockées

[bolo]

J'avais un problème de droit mon admin les a changé. J'arrive a créer mes procédure. Je les vois bien dans la bdd

Mais maintenant j'ai ce message

Procédure stockée '' introuvable

ce code n'est pas correct ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
  SqlConnection oConnection = new SqlConnection(strConString);
                SqlCommand oCommand = new SqlCommand("GetIDTransaction", oConnection);
                oCommand.CommandType = CommandType.StoredProcedure;
                //Création de la dateTransaction
                SqlParameter oParam = oCommand.Parameters.Add("@DateTransation", SqlDbType.DateTime, 8, "DateTransation");
                oParam.Value = DateTime.Now.ToString();
 
                SqlParameter oParam2 = oCommand.Parameters.Add("@ID", SqlDbType.Int, 0, "IdTransaction");
 
                oParam2.Direction = ParameterDirection.Output;
                //Ouverture de la connection
                oConnection.Open();
 
                //Récupère Id
                oCommand.ExecuteNonQuery();
               iIDTransation = Convert.ToInt32(oParam2.Value);

[Poulain]

Bah...
Je ne suis pas expert en SQL, mais je ne vois pas d'erreur...
Pareil en VB, surtout que j'utilise les procedures stockées depuis peu.

Mais je ne comprend pas pourquoi dans ton erreur, il fait comme si tu n'avais pas donné le nom de la procedures stockée...

[bolo]

C'est que je ne comprends pas.

Elle fonctionne, je l'ai testé sous SQL Server.

Quand je teste avec une procédure qui n'existe pas sur la bdd alors j'ai bien le message me disant que la procédure X est introuvable mais quand j'utilise le bon nom j'ai le message citez plus haut

Mais mon code est il correct ? Est un problème SQL Server ou Net ?

[bolo]

Bon nous avons réinstaller SQL Server et ca marche

[Poulain]

Eh bien te voilà tranquille!!!


Bon codage !