Discussion :

[art23]

Bonjour,

Pour mon site, je suis en train de modifier le mysql en PDO. Et avant pour sécuriser les informations, j'utilisais le code suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_real_escape_string

Mais comme ce code est devenu obsolète, je dois le changer en PDO. Mais je suis un peu perdu.
Je voulais savoir s'il existe un code équivalent et comment je pourrai le mettre en pratique?

Le code de cette partie est le suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

  $_GET['id'] = mysql_real_escape_string(htmlspecialchars($_GET['id']));

Merci d'avance pour votre aide.

[ABCIWEB]

Salut,

L'équivalent de mysql_real_escape_string pour pdo est la fonction quote(). C'est pas tout à fait l'équivalent car la fonction quote met des quotes en début et en fin de chaine.
A la place de

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$query =  "SELECT * from table WHERE champ = '".mysql_real_escape_string($_POST['champ'])."' AND ... "

c'est donc

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$query =  "SELECT * from table WHERE champ= ".quote($_POST['champ'])." AND ... "

Cela dit avec pdo on recommande de faire des requête préparées pour une meilleure sécurité dès que l'on intègre des variables utilisateurs dans la requête.

[ovh]

Cela dit avec pdo on recommande de faire des requête préparées pour une meilleure sécurité dès que l'on intègre des variables utilisateurs dans la requête.

Exactement, c'est sans nul doute vers les requêtes préparées que tu dois te tourner pour moderniser ton appli.

[art23]

Bonsoir,

Merci pour vos réponses.

Comment on peut faire des requetes preparées? J'ai cherché sur le site de PHP mais je n'ai pas très bien compris.

Merci d'avance,

[ABCIWEB]

Salut,

T'as regarder quelle page ? Celle-ci est très bien pour commencer.

Et puis y'a un tuto ici. La seule critique sur ce tuto est qu'il ne parle pas de la possibilité de passer un tableau dans la fonction execute(), ce qui est pourtant très pratique. Il s'en suit que le paragraphe IV.b (Comment faire face à un nombre de place holders dynamique) est très laborieux et en plus on utiliserait de préférence array_fill() pour construire dynamiquement le tableau de marqueurs. Mais bon à par ce paragraphe le reste est intéressant.

Et puis n'oublie pas la doc php, il faut regarder un peu toutes les fonctions car les exemples sont répartis sur les nombreuses fonctions. Celle de prépare() donne aussi des exemples avec des tableaux passés en paramètre dans la fonction execute().

Un peu plus tard (ou pendant ces lectures) faudra t'intéresser à la gestion des exceptions pour avoir une vision plus complète.

Avec ces liens tu devrais pouvoir commencer sur de bonnes bases.

[art23]

Salut,

Merci pour ces liens, je vais regarder...