Publicité
+ Répondre à la discussion
Affichage des résultats 1 à 4 sur 4
  1. #1
    Invité de passage
    Profil pro beraud brice
    Inscrit en
    février 2010
    Messages
    7
    Détails du profil
    Informations personnelles :
    Nom : beraud brice

    Informations forums :
    Inscription : février 2010
    Messages : 7
    Points : 3
    Points
    3

    Par défaut PDO requêtes paramétrées avec tableau de paramètres de taille variable

    Bonjour,

    Pour se protéger des Sql Injection je voudrais toujours faire appel à des requêtes paramétrées.
    Pour cela j'aimerais créer une fonction "générique" destinée à toutes les requêtes paramétrées de mon appli du style :
    Code :
    function executer_requete_param($sql,$params){}
    où $sql = la requête sql et $param = le tableau des paramètres de la requête.

    Je dois donc lier au PDOStatement un nombre variable de paramètres en fonction de la requête
    Code :
    1
    2
    3
    4
    5
    6
    7
    8
     
    $n=1;
    foreach ($params as $param){
     
         $PDOstmt->bindParam($n,$param)
         $n++;
    }
    PDOstmt->execute();
    Cependant, à l’exécution du PDOStatement tous les paramètres liés pointent sur le dernier passé dans la boucle. En définitive je me retrouve avec tous les paramètres possédant la même valeur, celle du dernier paramètre. Chose catastrophique pour l’exécution de la requête SQL .

    Comment lier le paramètre avant qu'il ne soit écraser par le suivant ?
    Est t-il possible d'envoyer à la fonction BindParam() tous les paramètres en une seule fois sous forme de tableau ?
    J'en viens également à m'interroger sur le bien fondé d'une telle fonction automatisant les requêtes paramétrées vu que peu de personnes ne semblent rencontrer ce problème
    Merci

  2. #2
    Modérateur
    Avatar de CinePhil
    Homme Profil pro Philippe Leménager
    Ingénieur d'études en informatique
    Inscrit en
    août 2006
    Messages
    13 895
    Détails du profil
    Informations personnelles :
    Nom : Homme Philippe Leménager
    Âge : 51
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Ingénieur d'études en informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : août 2006
    Messages : 13 895
    Points : 25 034
    Points
    25 034

    Par défaut

    Ce qu'il faut surtout, c'est typer les paramètres en s'assurant de comparer une colonne ou expression numérique à un paramètre numérique, une colonne ou expression date à un paramètre date, une colonne ou expression textuelle à un texte.

    Vouloir rajouter une couche à PDO me semble superflu.
    Philippe Leménager. Ingénieur d'étude à l'École Nationale de Formation Agronomique. Autoentrepreneur.
    Mon blog sur la conception des BDD, le langage SQL, le PHP avec Zend Framework...
    « Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément ». (Nicolas Boileau)
    À la maison comme au bureau, j'utilise la suite Linux Mageïa !

  3. #3
    Modérateur

    Inscrit en
    septembre 2010
    Messages
    7 957
    Détails du profil
    Informations forums :
    Inscription : septembre 2010
    Messages : 7 957
    Points : 10 638
    Points
    10 638

    Par défaut

    pourquoi faire bindParam, tu peux direct mettre un array dans execute

  4. #4
    Membre éprouvé Avatar de tse_jc
    Homme Profil pro Jean-Christophe THOMAS
    Ingénieur développement logiciels
    Inscrit en
    août 2010
    Messages
    251
    Détails du profil
    Informations personnelles :
    Nom : Homme Jean-Christophe THOMAS
    Âge : 43
    Localisation : France, Haut Rhin (Alsace)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : août 2010
    Messages : 251
    Points : 415
    Points
    415

    Par défaut

    Bonjour

    Pour se protéger des Sql Injection je voudrais toujours faire appel à des requêtes paramétrées.
    Pour cela j'aimerais créer une fonction "générique" destinée à toutes les requêtes paramétrées
    Vous pouvez toujours lire ceci :
    http://www.developpez.net/forums/d12...njections-sql/

    Cependant, à l’exécution du PDOStatement tous les paramètres liés pointent sur le dernier passé dans la boucle.
    Ceci est normal. Il vous faut faire l'execute dans la boucle for each.
    _______________________________________
    POO PHP+Ajax en MVC avec PDO et Bases de données épaisses : What else?

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •