IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

PDO et sécurité


Sujet :

Langage PHP

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre chevronné Avatar de rikemSen
    Homme Profil pro
    Analyste Développeur Web - Fizzup.com
    Inscrit en
    Décembre 2007
    Messages
    387
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Analyste Développeur Web - Fizzup.com
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Décembre 2007
    Messages : 387
    Par défaut PDO et sécurité
    Bonjour,

    Je bosse depuis quelques temps déjà avec PDO pour préparer mes requêtes etc et pour la portabilité du code mais une question me tracasse.

    J'avais lu quelque part que grace à PDO pas besoin de se préocupper de la sécurité car prepare() le faisait pour nous.

    J'aimerais confirmation que ceci ne craint rien..:

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
     
    <?php
    $req = $db->prepare('INSERT INTO table VALUES(?)');
    $req->execute(array($_GET['valeur']));
    ?>

  2. #2
    Modérateur
    Avatar de sabotage
    Homme Profil pro
    Inscrit en
    Juillet 2005
    Messages
    29 208
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : Juillet 2005
    Messages : 29 208
    Par défaut
    Ceci protège bien d'une injection.
    Cela n'empêcherait pas quelqu'un d'insérer n'importe quelle valeur dans la ta table.
    N'oubliez pas de consulter les FAQ PHP et les cours et tutoriels PHP

  3. #3
    Membre chevronné Avatar de rikemSen
    Homme Profil pro
    Analyste Développeur Web - Fizzup.com
    Inscrit en
    Décembre 2007
    Messages
    387
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Analyste Développeur Web - Fizzup.com
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Décembre 2007
    Messages : 387
    Par défaut
    C'est bien c'que j'me disais. Un p'tit coup d'htmlentities ne fera pas de mal.

    Merci sabotage.

  4. #4
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Lead dév - Architecte
    Inscrit en
    Août 2003
    Messages
    6 693
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Lead dév - Architecte
    Secteur : Industrie

    Informations forums :
    Inscription : Août 2003
    Messages : 6 693
    Par défaut
    Citation Envoyé par radicaldreamer Voir le message
    C'est bien c'que j'me disais. Un p'tit coup d'htmlentities ne fera pas de mal.

    Merci sabotage.
    htmlentites se fait de préférence à l'affichage et non à l'enregistrement. Ce que veux dire Sabotage c'est que être protéger des injection sql ne dispense pas de vérifer la validité des données (ne pas recevoir une chaine à la place d'un nombre par exemple)
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  5. #5
    Membre chevronné Avatar de rikemSen
    Homme Profil pro
    Analyste Développeur Web - Fizzup.com
    Inscrit en
    Décembre 2007
    Messages
    387
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Analyste Développeur Web - Fizzup.com
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Décembre 2007
    Messages : 387
    Par défaut
    Ah, mais ça je le fais automatiquement, merci ^^

    Pour ce qui est de htmlentities, je note le conseil. Je le faisais à l'insertion pour "être tranquille après" mais effectivement à l'affichage ça me paraît plus juste maintenant que tu le précises. Ça prends moins d'place en bdd ^^

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. [MySQL] Sécurité - PDO/MYSQL et Procédure Stockée
    Par SaleGamin dans le forum PHP & Base de données
    Réponses: 3
    Dernier message: 10/03/2012, 21h18
  2. [PDO] Sécurité avec PDO
    Par Mandarine dans le forum PHP & Base de données
    Réponses: 9
    Dernier message: 02/12/2010, 12h42
  3. PDO et Sécurité
    Par langevert dans le forum Langage
    Réponses: 7
    Dernier message: 13/11/2008, 19h26
  4. La Sécurité dans Access
    Par Maxence HUBICHE dans le forum Sondages et Débats
    Réponses: 81
    Dernier message: 24/06/2007, 02h07
  5. Pb de sécurité
    Par xtrips dans le forum Débuter
    Réponses: 6
    Dernier message: 16/04/2003, 08h50

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo