p
u
b
l
i
c
i
t
é
publicité
  1. #1
    Invité de passage
    Inscrit en
    février 2010
    Messages
    7
    Détails du profil
    Informations forums :
    Inscription : février 2010
    Messages : 7
    Points : 3
    Points
    3

    Par défaut PDO requêtes paramétrées avec tableau de paramètres de taille variable

    Bonjour,

    Pour se protéger des Sql Injection je voudrais toujours faire appel à des requêtes paramétrées.
    Pour cela j'aimerais créer une fonction "générique" destinée à toutes les requêtes paramétrées de mon appli du style :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    function executer_requete_param($sql,$params){}
    où $sql = la requête sql et $param = le tableau des paramètres de la requête.

    Je dois donc lier au PDOStatement un nombre variable de paramètres en fonction de la requête
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
     
    $n=1;
    foreach ($params as $param){
     
         $PDOstmt->bindParam($n,$param)
         $n++;
    }
    PDOstmt->execute();
    Cependant, à l’exécution du PDOStatement tous les paramètres liés pointent sur le dernier passé dans la boucle. En définitive je me retrouve avec tous les paramètres possédant la même valeur, celle du dernier paramètre. Chose catastrophique pour l’exécution de la requête SQL .

    Comment lier le paramètre avant qu'il ne soit écraser par le suivant ?
    Est t-il possible d'envoyer à la fonction BindParam() tous les paramètres en une seule fois sous forme de tableau ?
    J'en viens également à m'interroger sur le bien fondé d'une telle fonction automatisant les requêtes paramétrées vu que peu de personnes ne semblent rencontrer ce problème
    Merci

  2. #2
    Modérateur
    Avatar de CinePhil
    Homme Profil pro
    Ingénieur d'études en informatique
    Inscrit en
    août 2006
    Messages
    14 605
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 52
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Ingénieur d'études en informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : août 2006
    Messages : 14 605
    Points : 28 119
    Points
    28 119

    Par défaut

    Ce qu'il faut surtout, c'est typer les paramètres en s'assurant de comparer une colonne ou expression numérique à un paramètre numérique, une colonne ou expression date à un paramètre date, une colonne ou expression textuelle à un texte.

    Vouloir rajouter une couche à PDO me semble superflu.
    Philippe Leménager. Ingénieur d'étude à l'École Nationale de Formation Agronomique. Autoentrepreneur.
    Mon blog sur la conception des BDD, le langage SQL, le PHP avec Zend Framework...
    « Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément ». (Nicolas Boileau)
    À la maison comme au bureau, j'utilise la suite Linux Mageïa !

  3. #3
    Expert Confirmé Sénior

    Inscrit en
    septembre 2010
    Messages
    7 957
    Détails du profil
    Informations forums :
    Inscription : septembre 2010
    Messages : 7 957
    Points : 10 641
    Points
    10 641

    Par défaut

    pourquoi faire bindParam, tu peux direct mettre un array dans execute

  4. #4
    Membre éprouvé
    Avatar de tse_jc
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    août 2010
    Messages
    259
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Haut Rhin (Alsace)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : août 2010
    Messages : 259
    Points : 437
    Points
    437
    Billets dans le blog
    2

    Par défaut

    Bonjour

    Pour se protéger des Sql Injection je voudrais toujours faire appel à des requêtes paramétrées.
    Pour cela j'aimerais créer une fonction "générique" destinée à toutes les requêtes paramétrées
    Vous pouvez toujours lire ceci :
    http://www.developpez.net/forums/d12...njections-sql/

    Cependant, à l’exécution du PDOStatement tous les paramètres liés pointent sur le dernier passé dans la boucle.
    Ceci est normal. Il vous faut faire l'execute dans la boucle for each.
    _______________________________________
    POO PHP+Ajax en MVC avec PDO et Bases de données épaisses : What else?

Discussions similaires

  1. [sf 1.4.x] passer un tableau de paramètres avec link_to
    Par flora806 dans le forum symfony1
    Réponses: 1
    Dernier message: 28/05/2013, 12h00
  2. [AC-2003] Exécuter plusieurs fois une même requête ajout avec le même paramètre.
    Par paulojbt9 dans le forum VBA Access
    Réponses: 3
    Dernier message: 01/07/2011, 10h34
  3. update avec tableau en paramètre
    Par viny dans le forum Requêtes
    Réponses: 1
    Dernier message: 31/10/2009, 16h58
  4. procedure avec tableau en paramètre
    Par Kaféine dans le forum Langage
    Réponses: 4
    Dernier message: 22/07/2009, 15h50
  5. Requête sql avec date en paramètre
    Par Mihalis dans le forum Bases de données
    Réponses: 1
    Dernier message: 08/03/2007, 22h29

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo