Nouveaux moyen de se connecter

chido · 21/01/2012, 12h16

Bonjour à tous,

Je viens de reprendre le PHP avec base SQL mais je suis perdu....

J'aimerais connaitre le meilleur moyen actuel (sécurisé) pour se connecter à une base SQL. J'ai trouvé des informations sur la méthode via PDO mais je ne comprends pas tous et je n'aime pas faire du copier/coller de code sans comprendre..

Est-ce que la méthode via PDO est le meilleur moyen actuel ?

Merci !

Gecko · 22/01/2012, 11h23

Salut!

L'utilisation de PDO est plus sécurisée quand il est correctement implémenté. Les avantages sont nombreux.

En gros avec PDO si tu utilises les requêtes préparées tes variables seront systématiquement protégées contre les injections donc plus besoin des déclarer 50 fonctions en amont de ta requête.

Voici un exemple pour deux types de requêtes:

Une requête simple sans variable

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$pdo->query('SELECT name FROM user WHERE id = \'2\'');

Une requête avec variables

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$req = $pdo->prepare('SELECT name FROM user WHERE id = :id ');
$req->bindValue(':id',$_POST['id']); // C'est grossier, il est évident qu'il faudra un minimum de contrôles en amont
$req->execute();

Pour la seconde requête :id est un marqueur donc tu ne dois pas l'encapsuler entre quote, sinon tu enverrai :id et non le contenu de $_POST['id']. binValue sert à attribuer une variable à un marqueur, cette variable sera traitée pour que les injections ne soient pas possibles.

tu peux faire une variante de cette requête, certains trouvent ça mieux:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$req = $pdo->prepare('SELECT name FROM user WHERE id = :id ');
$req->execute(array(':id'=>$_POST['id'])); // C'est grossier, il est évident qu'il faudra un minimum de contrôles en amont

Pour finir je dirai que PDO c'est que du bonheur, avec une bonne gestion on peux rendre un système portable sur quasiment tous types de BDD

Doksuri · 22/01/2012, 12h02

tres bonne explication de PDO =)

j'ajouterai que pour securiser encore plus tes variables, tu peux ajouter le type de variable qu'on est sense attendre lors du bindValue.

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

$req->bindValue(':id', $_POST['id'], PDO::PARAM_INT);

il y a PARAM_INT et PARAM_STR pour les plus courants.

chido · 01/02/2012, 17h51

Merci beaucoup !!! Je continu mon PDO alors sans aucun soucie !!

ascito · 01/02/2012, 21h16

bonsoir,

je me mets à jour aussi, et ai codé cela

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
    protected  function _query($query,$array )
    {
 
        $id=0;
        $dbh = $this->connect();
        if($query===''){
            $sth = $this->curentQuery;
        }else{
            $sth = $dbh->prepare($query);
            $this->curentQuery = $sth;
                foreach($array as $key =>$v ){
                $sth->bindParam( ':'.$key ,$v );
                }
        }
        //$sth->bindParam(':id' ,$id );
 
        try {
        $sth->execute();
        return $this->result($sth->fetchAll(PDO::FETCH_CLASS,'mysqlPdo'));
        }
        catch (PDOException $e) {
            throw new Exception("Error occured while saving your object", null, $e);
        }  
 
    }

vous noterais l'absence du typage des variables, d’où mon post suite, quelqu'un à t'il fait sa class pour donner un type constante de class, a la variable passé dans bindParam, en détéctant son type ?

21/01/2012, 12h16	#1
chido Invité régulier Inscription : janvier 2009 Messages : 32 Détails du profil Informations forums : Inscription : janvier 2009 Messages : 32 Points : 5 Points : 5	Nouveaux moyen de se connecter Bonjour à tous, Je viens de reprendre le PHP avec base SQL mais je suis perdu.... J'aimerais connaitre le meilleur moyen actuel (sécurisé) pour se connecter à une base SQL. J'ai trouvé des informations sur la méthode via PDO mais je ne comprends pas tous et je n'aime pas faire du copier/coller de code sans comprendre.. Est-ce que la méthode via PDO est le meilleur moyen actuel ? Merci !
	00

22/01/2012, 12h02	#3
Doksuri Membre Expert Tiger Scott Développeur Web Inscription : juin 2006 Messages : 1 249 Détails du profil Informations personnelles : Nom : Tiger Scott Âge : 42 Informations professionnelles : Activité : Développeur Web Informations forums : Inscription : juin 2006 Messages : 1 249 Points : 1 510 Points : 1 510	tres bonne explication de PDO =) j'ajouterai que pour securiser encore plus tes variables, tu peux ajouter le type de variable qu'on est sense attendre lors du bindValue. Code php : Sélectionner tout - Visualiser dans une fenêtre à part $req->bindValue(':id', $_POST['id'], PDO::PARAM_INT); il y a PARAM_INT et PARAM_STR pour les plus courants. __________________ La forme des pyramides prouve que l'Homme a toujours tendance a en faire de moins en moins. N'oubliez pas le Le tag resolu. Need_!
	10

01/02/2012, 17h51	#4
chido Invité régulier Inscription : janvier 2009 Messages : 32 Détails du profil Informations forums : Inscription : janvier 2009 Messages : 32 Points : 5 Points : 5	Merci beaucoup !!! Je continu mon PDO alors sans aucun soucie !!
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email