Catégorie : ASP.NET

ASP.NET met en place plusieurs protections afin de protéger le site Web contre les utilisateurs malveillants. Par exemple, lors de l'entrée de texte dans un formulaire, il est impossible d'entrer des balises HTML, à moins que le programmeur n'en donne spécifiquement l'autorisation.

Mais la présence de protections automatiques n'est pas suffisante. Il faut également adapter nos techniques de programmation pour que notre application Web soit protégée.

Dans cet article, une technique de protection essentielle sera expliquée : l'utilisation des paramètres dans une requête SQL. En fait, tout le processus d'utilisation d'un SqlDataSource sera couvert, de sa déclaration jusqu'à la vérification du résultat de la requête.

Le monde du Web est sans état. Ceci signifie que les informations entrées sur une page seront perdues sur la page suivante.

Il existe cependant des mécanismes qui permettent de faire persister les données d'une page à l'autre. Sans ces mécanismes, il serait impossible, par exemple, de s'authentifier sur une page et de conserver l'authentification sur le reste du site Web.

Voici donc quelques-uns des mécanismes qui vous permettront de conserver des informations entre les pages du site : variables de session, variables de profil, ViewState et encodage d'URL.

Lorsqu'on affiche une page Web ASP.NET, toute une série d'événements est déclenchée, de l'initialisation de la page jusqu'à son affichage.

Dès la création d'une page Web dans Visual Studio, le squelette de la méthode Page_Load(), associée à l'événement Load de la page, est écrit dans le fichier .aspx.cs. Il faut toutefois savoir que de nombreux autres gestionnaires d'événement (Page_Init, Page_Load, Page_PreRender, etc.) sont prévus pour réagir à différents événements.

L'objet Request met à votre disposition la propriété Browser pour détecter avec précision sur quel navigateur la page est actuellement affichée. La propriété Browser, qui est également un objet, donne le nom du navigateur (Request.Browser.Browser), sa version (Request.Browser.Version), la plateforme utilisée (Request.Browser.Platform), etc.

Afin de pouvoir accéder aux données, il faut configurer une chaîne de connexion dans le fichier Web.config. La configuration sera donc effectuée à un seul endroit et vous utiliserez cette même chaîne de connexion à chaque fois que vous devez accéder à votre base de données.

Une fois qu'un site Web a été mis en ligne, il est possible d'y apporter des modifications. Par exemple, on pourrait modifier un fichier .aspx ou .aspx.cs dans notre environnement de développement local puis écraser la version en ligne pour que les modifications soient effectives sur le serveur. Cependant, on ne doit pas écraser la base de données puisque des données pourraient avoir été ajoutées via le site Web. Lorsqu'on apporte une modification à la BD localement (ex : ajout d'un champ, changement du nom ou de la taille d'un champ, ajout de données), il faut conserver une liste des requête SQL permettant de reproduire ces ajustements en ligne.

Visual Studio vous aidera dans cette tâche.

Lorsque vous devez ajouter un enregistrement dans une base de données existante, vous devez apporter une attention particulière aux identifiants.

En effet, MS SQL ne vous permet pas par défaut de donner la valeur d'un identifiant.

Pour y pervenir, vous devez :

• Entrer une commande indiquant que vous souhaitez forcer la valeur d'un identifiant;

  ou

• Laisser le soin à MS SQL de donner la valeur à l'identifiant.

Vous souhaitez mettre en ligne votre nouveau site Web programmé en ASP.NET. Il vous faut avoir accès à un serveur IIS. Il peut s'agir d'un forfait d'hébergement sur un serveur partagé ou encore de votre propre serveur, sur lequel vous avez tout le loisir d'ajuster les configurations. C'est ce dernier cas qui sera traité ici.

Lorsque vous développez un formulaire Web, il est essentiel de déterminer ce qui arrivera lorsque l'usager appuiera sur la touche Entrée. La plupart du temps, cette touche devra faire la même chose que lorsque l'usager clique sur le bouton de soumission du formulaire. Ceci contribuera à améliorer l'ergonomie du formulaire.

Ceci vous est certainement déjà arrivé : vous ouvrez une page Web qui contient un formulaire, vous commencez à remplir les cases du formulaire... et rien ne s'écrit à l'endroit désiré. Frustrant ! Le développeur de ce formulaire n'était pas très consciencieux.

Il est pourtant simple pour un développeur de donner le focus à un contrôle dès le chargement de la page. L'usager n'aura donc pas à cliquer sur le premier contrôle de saisie avant de commencer à taper. Quelques techniques vous sont présentées ici.