Nom de table variable -> :T_TABLE ou $T_TABLE ? [Résolu]

jreaux62 · 31/08/2011, 11h26

Bonjour,
Bon. pour mettre à jour mes tutos, je me lance dans PDO.
J'en suis à Comprendre PDO, et déjà une question :
-> comment faire/préparer une requête avec un nom de table en variable ?
j'ai vu ceci :

Citation:

le nom d'une table ne peut faire l'objet d'un paramètre.

on oublie donc (?)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
	$query = "SELECT blabla FROM :T_TABLE;";
	$query->bindValue(':T_TABLE', $TABLE_NEWS, PDO::PARAM_STR); // ca ne fonctionne pas

-> alors comment la sécuriser si j'écris (?)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

	$query = "SELECT blabla FROM ".$T_TABLE.";";

- mysql_real_escape_string() est-il encore valable ou non (?)
- htmlspecialchars() (?)

Merci.

Benjamin Delespierre · 31/08/2011, 13h04

Hello

Vu que tu es quelqu'un d'avisé qui comprends que le nom de la table ne doit jamais provenir de l'utilisateur ni lui être exposé, tu comprendra que tu peux tout à fait utiliser une bête concaténation.

Ce que tu dois faire c'est déterminer le nom de table à utiliser en fonction d'un paramètre reçu. Par exemple:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
switch ($action) {
  case 'utilisateur': $table = '`user`'; break;
  case 'administrateur': $table = '`admin`'; break;
  ...
}
 
$query = "INSERT INTO {$table} ...";

Après tu sécurise tes paramètre comme d'habitude.

jreaux62 · 31/08/2011, 13h19

Citation:

Envoyé par Benjamin Delespierre

le nom de la table ne doit jamais provenir de l'utilisateur ni lui être exposé

Mui claro !

Pour moi, le $T_TABLE provient d'un fichier de configuration interne
-> donc c'est bien MOI qui en définit les noms.

Citation:

Envoyé par Benjamin Delespierre

Après tu sécurises tes paramètre comme d'habitude.

C'est le "comme d'habitude" qui me perturbe (!)
Et un excès de paranoïa, sans doute. Surtout depuis que Stealh35 m'a "confronté" à des failles dans mes formulaires ... (corrigées depuis)
- htmlspecialchar() suffit-il ?

Benjamin Delespierre · 31/08/2011, 14h06

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Pour moi, le $T_TABLE provient d'un fichier de configuration interne
-> donc c'est bien MOI qui en définit les noms.

Si c'est coté serveur et que tu les contrôle tu n'a pas besoin de les vérifier / valider de surcroît. Sinon tu ne vas jamais t'en sortir si tu dois tout vérifier et tu vas introduire beaucoup de lourdeur dans ton application (rallentissement, perte de clarté du code etc.)

Citation:

C'est le "comme d'habitude" qui me perturbe (!)
Et un excès de paranoïa, sans doute. Surtout depuis que Stealh35 m'a "confronté" à des failles dans mes formulaires ... (corrigées depuis)
- htmlspecialchar() suffit-il ?

La validation de données ne se cantonne pas à la conversion / suppression des balises. Le meilleur moyen de valider / nettoyer les données reste indubitablement les filtres.

stealth35 · 31/08/2011, 14h15

de toute façon les c'est pas possible de faire une requête préparé avec la table en paramètre

31/08/2011, 14h15	#5
stealth35 Modérateur Inscription : septembre 2010 Messages : 7 131 Détails du profil Informations forums : Inscription : septembre 2010 Messages : 7 131 Points : 8 491 Points : 8 491	de toute façon les c'est pas possible de faire une requête préparé avec la table en paramètre __________________ http://blog.stealth35.com/
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email