Discussion :

[xmen01]

Bonjour,
Pour preparer un exam je dois securiser un site avec form login
Le pb c'est que je pars sur un site déjà existant qui est de type mvc avec un dispatcher le pb c'est que je sais pas ou je dois mettre mon session start ainsi que poster le formulaire.
Sinon le site accède à la base de donnée avec mysql requete qui est déprécié existe t'il un moyen simple de remplacer cette requête par du PDO ?

[kopros2]

Bonjour,

je sais pas ou je dois mettre mon session start

La première ligne de chaque fichier qui traite une ou plusieurs variables de session :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

session_start();

Moi pour pas être embêté je le mets systématiquement, c'est pas top optimisation, mais ça me permet de gagner du temps en évitant des erreurs bêtes.

ainsi que poster le formulaire.

J'ai pas vraiment compris ta question... tu envoies bien le formulaire à la page que tu veux...

Sinon le site accède à la base de donnée avec mysql requete qui est déprécié existe t'il un moyen simple de remplacer cette requête par du PDO ?

RTFM

[xmen01]

ok merci pour ta réponse ms le site sur lequel je bosse est de type mvc avec un dispatcher et possède un controller, et si je met php session ds toute les pages je pense que c'est pas bon

[iakou]

Bonjour.

C'est quoi ce formulaire ?... Un simple formulaire de connexion, ou un gros formulaire ?...
Quant à SQL, ne vous lancez pas dans PDO (trop d'investissement), passez plutôt en Mysqli, ce sera plus simple (les instructions se ressemblent).
Cdlt

P.S : Pour les sessions, y-a pléthore de discussions et tutoss. Cherchez un peu !...

[kopros2]

Quant à SQL, ne vous lancez pas dans PDO (trop d'investissement), passez plutôt en Mysqli, ce sera plus simple (les instructions se ressemblent).

C'est vrai que c'est un gros investissement, mais pour moi PDO a beaucoup d'avantages : les connexions sont optimisées, on évite les injections de requêtes, il est multi-SGBD donc évolutif...


Le mieux, quitte à refaire toutes les requêtes, c'est de les centraliser dans une classe, une fonction par type de requête et on a tous les avantages d'un ORM.
Après si le site existant est assez gros, je suis conscient que ça prend pas mal de temps...

J'ai déjà une class de ce type que j'ai faite, c'est un petit truc, mais ça permet de faire les manip de bases : SELECT, INSERT, UPDATE, DELETE.
Le tout est en PDO, on peut modifier la connexion au serveur SQL, ainsi que le SGBD, en déclarant l'objet (on renseigne ceux par défaut dans le fichier en question).
Envoyez moi un mp avec votre adresse mail pour que je vous envoie ça.

[Bovino]

mais pour moi PDO a beaucoup d'avantages

Certes, mais te sont-ils utiles ?
Car comme indiqué par iakou, si tu n'en as pas besoin, autant le garder pour un apprentissage ultérieur.

D'autant que

les connexions sont optimisées

avec mysqli aussi.

on évite les injections de requêtes

avec mysqli aussi.

il est multi-SGBD donc évolutif...

à la rigueur, mais franchement, on ne change pas de BDD tous les jours, donc si tu es parti sur MySQL, je ne vois pas trop pourquoi tu devrais passer à d'autres SGBD prochainement. Quant au côté évolutif, il faut faire attention, si tu changes de SGBD, il faudra probablement adapter le code, ne serait-ce que pour rendre les requêtes compatibles.

[kopros2]

Oui tout dépend si on compte ou non reprendre les mêmes bouts de codes pour plusieurs sites ! J'étais plutôt parti dans cette optique là.
Quand j'ai vu sur un site que l'équipe à bien galéré pour passer de MySQL à PostgreSQL, alors que c'est loin d'être des débutants, je me suis dis que c'est mieux de prévoir ce genre de chose assez tôt.

Pour ce qui est de l'adaptation du code, on voit ici l'intérêt d'un ORM (qu'il utilise ou non PDO) : suffit d'adapter les fonctions de la class, sans se replonger dans toutes les pages du site.
L'inconvénient de l'ORM, c'est qu'on peut pas vraiment faire de requêtes un peu trop complexes, mais pour un site standard (ou un blog, forum...) ça suffit amplement.

[sabotage]

Personnellement je trouve que PDO est proche dans anciennes extensions.
Il y a seulement l'aspect objet en plus.
Mysqli a des fonctions tordues.