PDO et sécurité [Résolu]

radicaldreamer · 20/12/2010, 09h18

Bonjour,

Je bosse depuis quelques temps déjà avec PDO pour préparer mes requêtes etc et pour la portabilité du code mais une question me tracasse.

J'avais lu quelque part que grace à PDO pas besoin de se préocupper de la sécurité car prepare() le faisait pour nous.

J'aimerais confirmation que ceci ne craint rien..:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
<?php
$req = $db->prepare('INSERT INTO table VALUES(?)');
$req->execute(array($_GET['valeur']));
?>

sabotage · 20/12/2010, 09h48

Ceci protège bien d'une injection.
Cela n'empêcherait pas quelqu'un d'insérer n'importe quelle valeur dans la ta table.

radicaldreamer · 20/12/2010, 09h58

C'est bien c'que j'me disais. Un p'tit coup d'htmlentities ne fera pas de mal.

Merci sabotage.

grunk · 20/12/2010, 10h12

Citation:

Envoyé par radicaldreamer

C'est bien c'que j'me disais. Un p'tit coup d'htmlentities ne fera pas de mal.

Merci sabotage.

htmlentites se fait de préférence à l'affichage et non à l'enregistrement. Ce que veux dire Sabotage c'est que être protéger des injection sql ne dispense pas de vérifer la validité des données (ne pas recevoir une chaine à la place d'un nombre par exemple)

radicaldreamer · 20/12/2010, 10h24

Ah, mais ça je le fais automatiquement, merci ^^

Pour ce qui est de htmlentities, je note le conseil. Je le faisais à l'insertion pour "être tranquille après" mais effectivement à l'affichage ça me paraît plus juste maintenant que tu le précises. Ça prends moins d'place en bdd ^^

20/12/2010, 09h58	#3
radicaldreamer Membre éprouvé Guillaume Développeur Web Inscription : décembre 2007 Messages : 353 Détails du profil Informations personnelles : Nom : Guillaume Âge : 21 Localisation : France, Haut Rhin (Alsace) Informations professionnelles : Activité : Développeur Web Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : décembre 2007 Messages : 353 Points : 473 Points : 473	C'est bien c'que j'me disais. Un p'tit coup d'htmlentities ne fera pas de mal. Merci sabotage. __________________ Si ce que tu as à dire n'est pas plus beau que le silence, alors tais toi. - Pensez à voter pour les messages qui vous ont été utiles ainsi que de mettre
	00

20/12/2010, 10h24	#5
radicaldreamer Membre éprouvé Guillaume Développeur Web Inscription : décembre 2007 Messages : 353 Détails du profil Informations personnelles : Nom : Guillaume Âge : 21 Localisation : France, Haut Rhin (Alsace) Informations professionnelles : Activité : Développeur Web Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : décembre 2007 Messages : 353 Points : 473 Points : 473	Ah, mais ça je le fais automatiquement, merci ^^ Pour ce qui est de htmlentities, je note le conseil. Je le faisais à l'insertion pour "être tranquille après" mais effectivement à l'affichage ça me paraît plus juste maintenant que tu le précises. Ça prends moins d'place en bdd ^^ __________________ Si ce que tu as à dire n'est pas plus beau que le silence, alors tais toi. - Pensez à voter pour les messages qui vous ont été utiles ainsi que de mettre
	00

20/12/2010, 09h48	#2
sabotage Modérateur Vincent Inscription : juillet 2005 Messages : 14 929 Détails du profil Informations personnelles : Nom : Vincent Informations forums : Inscription : juillet 2005 Messages : 14 929 Points : 16 381 Points : 16 381	Ceci protège bien d'une injection. Cela n'empêcherait pas quelqu'un d'insérer n'importe quelle valeur dans la ta table.
	10

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email