Discussion :

[Mandarine]

Bonjour,

J'utilise pour la première fois PDO.
J'ai compris que les requêtes préparées sécurisées des injections SQL.

j'utilise le code suivant pour modifier un mot de passe d'un utilisateur:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
try{
$DB = new PDO('pgsql:host=localhost;dbname=local', 'postgresSQL', 'password');
//afficher les erreurs car PDO n'affiche pas les erreurs par défaut 
$DB->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);
}
catch(PDOException $e){
echo 'La base de donn&eacute;es n\'est pas disponible pour le moment.<br/>';
}
 
$sql='update administration set mdp=:mdp where login=:login';
				$req=$DB->prepare($sql);
				$req->execute(array( 'login' => $_SESSION['login'], 'mdp' => $_POST['nouveau_mdp'] ));
				$retour=$req->fetch(PDO::FETCH_ASSOC);
				echo('Modification du mot de passe effectuée<br/>');

J'ai 2 questions:
1 Le code est-il sécurisé (passer des _SESSION ou $_POST en variable à la reqête préparée ne pose pas problème)?

2 Si je mets via un formulaire le mot de passe : "l'arc" je m'attendais à voir dans la base "l\'arc" et que le ' soit échappé par PDO. Or dans la base je vois "l'arc". Est-ce normal ?

Merci

[stealth35]

je t'invite a voir a quoi correspond les requêtes préparées
http://dev.mysql.com/doc/refman/5.0/fr/sqlps.html


par contre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$retour=$req->fetch(PDO::FETCH_ASSOC);

ca sert a rien

[Madfrix]

le echo dans le catch ne sert pas à grand chose non plus, il ne va pas arrêter l'exécution du code qui plantera après sur le prepare(), il vaut mieux faire un die

[stealth35]

le echo dans le catch ne sert pas à grand chose non plus, il ne va pas arrêter l'exécution du code qui plantera après sur le prepare(), il vaut mieux faire un die

+1
mais c'est pas die mais exit

[Madfrix]

bah c'est son alias non ?

[stealth35]

bah c'est son alias non ?

ouai justement, c'est déconseiller d'utiliser les alias

C'est une très mauvaise habitude d'utiliser ces alias, car ils risquent à tous moment de disparaître, rendus obsolète sans préavis, ou bien par un simple changement de nom, ce qui rend votre script inutilisable avec des versions plus récentes de PHP. Préférez toujours les versions officielles.

http://php.net/manual/fr/aliases.php

[Mandarine]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$retour=$req->fetch(PDO::FETCH_ASSOC);

Il me permet de retourner un tableau indexé par le nom de la colonne, donc il sert, non ?

Et pour mes 2 questions car même après avoir lu ta doc stealth35 j'ai toujours des interrogations:

1 Le code est-il sécurisé (passer des _SESSION ou $_POST en variable à la reqête préparée ne pose pas problème)?

2 Si je mets via un formulaire le mot de passe : "l'arc" je m'attendais à voir dans la base "l\'arc" et que le ' soit échappé par PDO. Or dans la base je vois "l'arc". Est-ce normal ?

Je vais rajouter le exit, mais d'un coté si ça plante ça s'arrête tout seul, pas besoin de "exit" ...

Je débute en php

[Souri84]

Salut tout le monde,

Perso, il m'arrive de passer des $_SESSION directement dans le array() du style

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$req->execute(array($_SESSION['X'], $variable1, $variable2 ...));

Et je n'ai pas de soucis...

Après pour le $_POST, j'utilise extract($_POST); du coup, ça me passe tout en variable et c'est plus simple je trouve (et sans doute plus sécurisant... mais ça je n'en suis pas tout à fait sûr...)

[Doksuri]

Salut,

tu peux aussi passer par bindValue php.net/manual/en/pdostatement.bindvalue.php j'aime bien cette methode car tu peux preciser s'il s'agit d'un int ou d'un string...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

PDO::PARAM_INT / PDO::PARAM_STR

[Mandarine]

Mon code est donc sécurisé (SQL injection entre autres) ?
J'avais peur que le fait de passer en paramètre de ma requete des _POST ou _SESSION réouvre des failles fermées par le prepare et le execute