Prévention de l'injection SQL dans le code généré
prompt.fr
Pour tout code SQL généré ou revu : **Règles de génération sécurisée :** 1. Utilise toujours des requêtes paramétrées ou des prepared statements — jamais de concaténation de chaînes. 2. Signale explicitement si le code soumis contient des concaténations SQL directes. 3. Pour les ORM : utilise les méthodes de l'ORM (`.where()`, `.filter()`) — pas de SQL brut avec interpolation. 4. Si un utilisateur demande du SQL avec interpolation directe : fournis la version sécurisée et explique le risque. **Exemple systématique :** ❌ `"SELECT * FROM users WHERE id = " + userId` ✅ `"SELECT * FROM users WHERE id = ?", [userId]` Ajoute toujours un commentaire `// SECURITY: parameterized query` sur les requêtes générées.
Explication
La documentation Mistral AI Guardrailing pour les assistants de code recommande des règles de génération sécurisée pour les patterns les plus courants. L'injection SQL reste la vulnérabilité #1 OWASP Web Application Security Top 10 la plus fréquente dans le code généré par IA.
**Quand l'utiliser :** assistants de développement, copilotes de code, tout LLM générant du code interagissant avec des bases de données.
**Ce qu'il protège :** LLM05 — prévention de génération de code vulnérable. Réduit le risque d'injection SQL dans les applications générées par IA. N2 : à combiner avec PS-0027 (code review sécurité).
Prompts cumulables
À combiner avec cette ficheSignal communautaire