Discussion :

[Vinyl]

Bonjour,

Sur un site en php, je peux dans le back office supprimer des éléments contenus dans plusieurs tables.

Par exemple, quand je suis dans la gestion des articles, je peux supprimer un article.
Quand je suis dans la gestion des images, je peux supprimer une image.

A chaque fois, j’appelle un fichier différent qui contient la requête pour supprimer.

Je cherche donc à n’avoir qu’un seul fichier pour effectuer ces opérations.

Je peux passer mes variables id (article ou image) en paramètres. Mais il faudrait aussi que la table soit variable.

Je sais faire une requête avec une variable table.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$req = $bdd->prepare('SELECT titre FROM '.$table.' WHERE id = ?');

Mais je me demandais si c’était judicieux de transmettre le nom de ma table comme ça en post ?

C’est dans un back office, donc pas en accès publique.

Vous en pensez quoi ?

[Benjamin Delespierre]

J'en pense que, back office ou non, ce n'est jamais une bonne idée d'exposer quoi que ce soit sur la logique métier ou modèle de l'application et à plus forte raison des éléments utilisés dans les requêtes SQL.

A moins que tu ne sois certain à 100% que personne ne pourra pirater ton back office (et à moins d'être le fils de Chuck Norris, je pense que personne n'aura l'aplomb pour l'affirmer avec certitude) alors il vaut mieux éviter de donner au client la main sur des éléments des requêtes SQL sinon c'est ouvrir grand ses portes aux injections.

[Bovino]

Entièrement d'accord avec Benjamin !
D'autre part, la première question à te poser est surtout pourquoi

Je cherche donc à n’avoir qu’un seul fichier pour effectuer ces opérations.

?

Quelle est l'utilité ?
Autant, ça se comprend aisément pour des ressources à envoyer au client (CSS, JavaScript, ...) autant côté serveur, à part complexifier inutilement un code fonctionnel, je ne vois pas l'intérêt.

[Invité]

Bonjour,
plutôt que de transmettre directement le NOM de la table, je transmettrais une variable "à tester" :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<a href="blabla.php?tab=articles&id=123">modifier</a>

Et on teste :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
if($_GET['tab']== 'articles'){
  $latable = 'TAB_ARTICLES';
} elseif($_GET['tab']== 'photos'){
  $latable = 'TAB_PHOTOS';
} else {
  echo 'VADE RETRO SATANAS !!';
  exit;
}

De cette manière, les noms des tables ne sont pas modifiables "de l'extérieur".

[Vinyl]

Hello,

Effectivement, je pense aussi que c’est une mauvaise idée de transmettre le nom de la table. Je ne suis pas le fis de Chuck Norris !

La seule utilité, c’est de limiter le nombre de fichiers. Ce n’est bien sur pas un manque d’espace sur le serveur. En fait, dès que je commence à faire des copier / coller ou des fichiers dupliqués, je me pose toujours la question de voir si il n’y a pas une autre méthode. Je me dis qu’il y a forcément une manière plus optimisée.

Aussi, je pense à l’avenir. Quand il faut re ouvrir le projet après 6 mois et faire des modifications, je préfère n’avoir qu’un seul fichier à modifier plutôt que 10.

Jreaux, ta solution fonctionne bien. Merci !