formulaire validation et PDO VS htmlentities
bonjour à vous et meilleurs voeux.
je vous soumet le code pour valider les données d'un formulaire avant application d'une requete sql.
est-ce que l'utilisation de la fonction mysql_real_escape_string() et correcte et judicieusement utilisée?
Code:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
| <?php
include("check.php");
$input=$_POST['info'];
if(ctype_digit($input)){
echo "information valide";
$a= mysql_real_escape_string($input);
echo $a;
}else{
echo "information non valide";
}
$input_date=$_POST['date'];
list($jour, $mois, $annee) = explode('/', $input_date);
if(checkdate($mois,$jour,$annee))
{
echo "date valide";
$b= mysql_real_escape_string($input_date);
echo $b;
}
else
{
echo "date non valide";
}
?> |
Sachant que la requete est utilisée en mode PDO du type
Code:
1 2
| $check_credentials_query = $mysql->prepare("SELECT * FROM users WHERE user_name=:username AND user_password=:password");
$check_credentials = $check_credentials_query->execute(array('password' => $password, 'username' => $username)); |
Concernant la requete doit-elle être dans la même page que le contrôle ou doit-elle être sur une autre page.php?
Est-ce que la combinaison de mon formulaire de validation des données et l'utilisation PDO pour les requêtes propose un niveau de sécurité optimale.
Est-ce que ça remplace les htmlentities? (pas certain de l'orthographe)
Le fichier "check.php" contrôle s'il y a un token créé lors du loging et que la connection à la bdd se fait via le fichier config.php appelé par check.php
merci d'avance pour votre info.
Question2: idiote je suppose, pour votre formulaire de loging, utilisez-vous aussi le controle de donnée; avant d'utiliser la requête?