Sécurité avec PDO

**Mandarine** · 01/12/2010, 16h49

Bonjour,

J'utilise pour la première fois PDO.
J'ai compris que les requêtes préparées sécurisées des injections SQL.

j'utilise le code suivant pour modifier un mot de passe d'un utilisateur:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
try{
$DB = new PDO('pgsql:host=localhost;dbname=local', 'postgresSQL', 'password');
//afficher les erreurs car PDO n'affiche pas les erreurs par défaut 
$DB->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);
}
catch(PDOException $e){
echo 'La base de donn&eacute;es n\'est pas disponible pour le moment.<br/>';
}
 
$sql='update administration set mdp=:mdp where login=:login';
				$req=$DB->prepare($sql);
				$req->execute(array( 'login' => $_SESSION['login'], 'mdp' => $_POST['nouveau_mdp'] ));
				$retour=$req->fetch(PDO::FETCH_ASSOC);
				echo('Modification du mot de passe effectuée<br/>');

J'ai 2 questions:
1 Le code est-il sécurisé (passer des _SESSION ou $_POST en variable à la reqête préparée ne pose pas problème)?

2 Si je mets via un formulaire le mot de passe : "l'arc" je m'attendais à voir dans la base "l\'arc" et que le ' soit échappé par PDO. Or dans la base je vois "l'arc". Est-ce normal ?

Merci

**stealth35** · 01/12/2010, 17h00

je t'invite a voir a quoi correspond les requêtes préparées
http://dev.mysql.com/doc/refman/5.0/fr/sqlps.html

par contre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$retour=$req->fetch(PDO::FETCH_ASSOC);

ca sert a rien

**Madfrix** · 01/12/2010, 17h20

le echo dans le catch ne sert pas à grand chose non plus, il ne va pas arrêter l'exécution du code qui plantera après sur le prepare(), il vaut mieux faire un die

**stealth35** · 01/12/2010, 17h39

Envoyé par Madfrix

le echo dans le catch ne sert pas à grand chose non plus, il ne va pas arrêter l'exécution du code qui plantera après sur le prepare(), il vaut mieux faire un die

+1
mais c'est pas die mais exit

**Madfrix** · 01/12/2010, 18h30

bah c'est son alias non ?

**stealth35** · 01/12/2010, 21h34

Envoyé par Madfrix

bah c'est son alias non ?

ouai justement, c'est déconseiller d'utiliser les alias

C'est une très mauvaise habitude d'utiliser ces alias, car ils risquent à tous moment de disparaître, rendus obsolète sans préavis, ou bien par un simple changement de nom, ce qui rend votre script inutilisable avec des versions plus récentes de PHP. Préférez toujours les versions officielles.

http://php.net/manual/fr/aliases.php

Sécurité avec PDO [PDO]

PHP & Base de données

Vue hybride

Discussions similaires

Partager

Partager