Discussion :

[Invité]

Bonjour,
Bon. pour mettre à jour mes tutos, je me lance dans PDO.
J'en suis à Comprendre PDO, et déjà une question :
-> comment faire/préparer une requête avec un nom de table en variable ?
j'ai vu ceci :

le nom d'une table ne peut faire l'objet d'un paramètre.

on oublie donc (?)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
	$query = "SELECT blabla FROM :T_TABLE;";
	$query->bindValue(':T_TABLE', $TABLE_NEWS, PDO::PARAM_STR); // ca ne fonctionne pas

-> alors comment la sécuriser si j'écris (?)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

	$query = "SELECT blabla FROM ".$T_TABLE.";";

- mysql_real_escape_string() est-il encore valable ou non (?)
- htmlspecialchars() (?)

Merci.

[Benjamin Delespierre]

Hello

Vu que tu es quelqu'un d'avisé qui comprends que le nom de la table ne doit jamais provenir de l'utilisateur ni lui être exposé, tu comprendra que tu peux tout à fait utiliser une bête concaténation.

Ce que tu dois faire c'est déterminer le nom de table à utiliser en fonction d'un paramètre reçu. Par exemple:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
switch ($action) {
  case 'utilisateur': $table = '`user`'; break;
  case 'administrateur': $table = '`admin`'; break;
  ...
}
 
$query = "INSERT INTO {$table} ...";

Après tu sécurise tes paramètre comme d'habitude.

[Invité]

le nom de la table ne doit jamais provenir de l'utilisateur ni lui être exposé

Mui claro !
Pour moi, le $T_TABLE provient d'un fichier de configuration interne
-> donc c'est bien MOI qui en définit les noms.

Après tu sécurises tes paramètre comme d'habitude.

C'est le "comme d'habitude" qui me perturbe (!)
Et un excès de paranoïa, sans doute. Surtout depuis que Stealh35 m'a "confronté" à des failles dans mes formulaires ... (corrigées depuis)
- htmlspecialchar() suffit-il ?

[Benjamin Delespierre]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Pour moi, le $T_TABLE provient d'un fichier de configuration interne
-> donc c'est bien MOI qui en définit les noms.

Si c'est coté serveur et que tu les contrôle tu n'a pas besoin de les vérifier / valider de surcroît. Sinon tu ne vas jamais t'en sortir si tu dois tout vérifier et tu vas introduire beaucoup de lourdeur dans ton application (rallentissement, perte de clarté du code etc.)

C'est le "comme d'habitude" qui me perturbe (!)
Et un excès de paranoïa, sans doute. Surtout depuis que Stealh35 m'a "confronté" à des failles dans mes formulaires ... (corrigées depuis)
- htmlspecialchar() suffit-il ?

La validation de données ne se cantonne pas à la conversion / suppression des balises. Le meilleur moyen de valider / nettoyer les données reste indubitablement les filtres.

[stealth35]

de toute façon les c'est pas possible de faire une requête préparé avec la table en paramètre