IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

PHP & Base de données Discussion :

PDO requêtes paramétrées avec tableau de paramètres de taille variable


Sujet :

PHP & Base de données

  1. 16/06/2012, 18h43 #1
    disciplined
    disciplined est déconnecté
    Futur Membre du Club
    Profil pro
    Inscrit en
    Février 2010
    Messages
    7
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2010
    Messages : 7
    Points : 6
    Points
    6
    Par défaut PDO requêtes paramétrées avec tableau de paramètres de taille variable
    Bonjour,

    Pour se protéger des Sql Injection je voudrais toujours faire appel à des requêtes paramétrées.
    Pour cela j'aimerais créer une fonction "générique" destinée à toutes les requêtes paramétrées de mon appli du style :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    function executer_requete_param($sql,$params){}
    où $sql = la requête sql et $param = le tableau des paramètres de la requête.

    Je dois donc lier au PDOStatement un nombre variable de paramètres en fonction de la requête
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
     
$n=1;
foreach ($params as $param){
 
     $PDOstmt->bindParam($n,$param)
     $n++;
}
PDOstmt->execute();
    Cependant, à l’exécution du PDOStatement tous les paramètres liés pointent sur le dernier passé dans la boucle. En définitive je me retrouve avec tous les paramètres possédant la même valeur, celle du dernier paramètre. Chose catastrophique pour l’exécution de la requête SQL .

    Comment lier le paramètre avant qu'il ne soit écraser par le suivant ?
    Est t-il possible d'envoyer à la fonction BindParam() tous les paramètres en une seule fois sous forme de tableau ?
    J'en viens également à m'interroger sur le bien fondé d'une telle fonction automatisant les requêtes paramétrées vu que peu de personnes ne semblent rencontrer ce problème
    Merci
    Répondre avec citation Répondre avec citation   0  0
  2. 18/06/2012, 10h56 #2
    CinePhil
    CinePhil est actuellement connecté
    Modérateur

    Avatar de CinePhil
    Homme Profil pro
    Ingénieur d'études en informatique
    Inscrit en
    Août 2006
    Messages
    16 799
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 60
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Ingénieur d'études en informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : Août 2006
    Messages : 16 799
    Points : 34 031
    Points
    34 031
    Billets dans le blog
    14
    Par défaut
    Ce qu'il faut surtout, c'est typer les paramètres en s'assurant de comparer une colonne ou expression numérique à un paramètre numérique, une colonne ou expression date à un paramètre date, une colonne ou expression textuelle à un texte.

    Vouloir rajouter une couche à PDO me semble superflu.
    Philippe Leménager. Ingénieur d'étude à l'École Nationale Supérieure de Formation de l'Enseignement Agricole. Autoentrepreneur.
    Mon ancien blog sur la conception des BDD, le langage SQL, le PHP... et mon nouveau blog sur les mêmes sujets.
    « Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément ». (Nicolas Boileau)
    À la maison comme au bureau, j'utilise la suite Linux Mageïa !
    Répondre avec citation Répondre avec citation   0  0
  3. 18/06/2012, 11h06 #3
    stealth35
    stealth35 est déconnecté
    Expert éminent sénior
    Profil pro
    Inscrit en
    Septembre 2010
    Messages
    7 920
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2010
    Messages : 7 920
    Points : 10 726
    Points
    10 726
    Par défaut
    pourquoi faire bindParam, tu peux direct mettre un array dans execute
    La rubrique PHP
    Cours et tutoriels pour apprendre PHP
    Cours et tutoriels pour apprendre Symfony
    La FAQ PHP
    Le Forum PHP
    Offres d'emploi développeur PHP
    Répondre avec citation Répondre avec citation   0  0
  4. 01/08/2012, 08h41 #4
    tse_jc
    tse_jc est déconnecté
    Membre confirmé
    Avatar de tse_jc
    Homme Profil pro
    Data Solutions
    Inscrit en
    Août 2010
    Messages
    287
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 52
    Localisation : France, Haut Rhin (Alsace)

    Informations professionnelles :
    Activité : Data Solutions
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2010
    Messages : 287
    Points : 597
    Points
    597
    Billets dans le blog
    4
    Envoyer un message via MSN à tse_jc
    Par défaut
    Bonjour

    Pour se protéger des Sql Injection je voudrais toujours faire appel à des requêtes paramétrées.
    Pour cela j'aimerais créer une fonction "générique" destinée à toutes les requêtes paramétrées
    Vous pouvez toujours lire ceci :
    http://www.developpez.net/forums/d12...njections-sql/

    Cependant, à l’exécution du PDOStatement tous les paramètres liés pointent sur le dernier passé dans la boucle.
    Ceci est normal. Il vous faut faire l'execute dans la boucle for each.
    _______________________________________
    Azure Data Engineer & Azure DBA
    Blog TSE sur developpez.com : Architectures web hautes performances en PHP
    Les meilleurs tutoriels PHP sur developpez.com
    Répondre avec citation Répondre avec citation   0  0
ActualitésFAQ PHPCours PHPSources PHPLivres PHPScripts PHPOutils PHPLaravelSymfonyZend Framework
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. [1.x] passer un tableau de paramètres avec link_to
    Par flora806 dans le forum Symfony
    Réponses: 1
    Dernier message: 28/05/2013, 12h00
  2. [AC-2003] Exécuter plusieurs fois une même requête ajout avec le même paramètre.
    Par paulojbt9 dans le forum VBA Access
    Réponses: 3
    Dernier message: 01/07/2011, 10h34
  3. update avec tableau en paramètre
    Par viny dans le forum Requêtes
    Réponses: 1
    Dernier message: 31/10/2009, 16h58
  4. procedure avec tableau en paramètre
    Par Kaféine dans le forum Langage
    Réponses: 4
    Dernier message: 22/07/2009, 15h50
  5. Requête sql avec date en paramètre
    Par Mihalis dans le forum Bases de données
    Réponses: 1
    Dernier message: 08/03/2007, 22h29

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo