Prevent LDAP injection

Ce produit n'est pas pris en charge par le site Datadog que vous avez sélectionné. ().
Cette page n'est pas encore disponible en français, sa traduction est en cours.
Si vous avez des questions ou des retours sur notre projet de traduction actuel, n'hésitez pas à nous contacter.

Metadata

ID: csharp-security/ldap-injection

Language: C#

Severity: Warning

Category: Security

CWE: 90

Description

Unvalidated user inputs may lead to LDAP injection. Always escape characters in your LDAP queries. Do not build LDAP queries manually.

Learn More

Non-Compliant Code Examples

public class MyController : Controller
{
    public bool userExists(string user, string pass)
    {
        DirectoryEntry directory  = new DirectoryEntry();
        DirectorySearcher directorySearch  = new DirectorySearcher(directory);

        directorySearch.Filter = "(&(uid=" + user + ")(userPassword=" + pass + "))";

        return directorySearch.FindOne() != null;
    }
}

Compliant Code Examples

public class MyController : Controller
{
    public bool userExists(string user, string pass)
    {
        // Safe: using parameterized/escaped LDAP query
        DirectoryEntry directory = new DirectoryEntry();
        DirectorySearcher directorySearch = new DirectorySearcher(directory);
        string escapedUser = EscapeLdapSearchFilter(user);
        directorySearch.Filter = "(objectclass=person)";
        return directorySearch.FindOne() != null;
    }
}
https://static.datadoghq.com/static/images/logos/github_avatar.svg https://static.datadoghq.com/static/images/logos/vscode_avatar.svg jetbrains