Discussion :

[vbaguet]

Bonjour à tous,

Je voulais vous soumettre ma première requête PDO, que j'ai codée avec les quelques infos que j'ai prises sur le web.

Je voulais savoir si ca tenais la route, et quelles améliorations je pourrais apporter, notamment d'un point de vue sécurité...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
 
try
{
	$pdo_options[PDO::ATTR_ERRMODE] = PDO::ERRMODE_EXCEPTION;
	$DB = new PDO('mysql:host=localhost;dbname=stephanebleus', 'root', '', $pdo_options);
}
catch(Exception $e)
{
	die('Erreur : '.$e->getMessage());
}
 
try
{
	// On récupère les données POST
	$titre = $DB->quote($_POST['titre']); 
	$contenu = $DB->quote($_POST['contenu']);
 
	// Insertion dans la base de donnée							
	$req = $DB->exec("INSERT INTO articles(titre, contenu) VALUES ($titre, $contenu)");
 
	// Redirection vers la page d'accueil
	header("Location: index.php");
 
	// Fermeture du curseur
	$req->closeCursor();
}
catch(Exception $e)
{
	die('Erreur : '.$e->getMessage());
}

Merci d'avance

[stealth35]

hello,
c’est pas pas mal même si c'est du copié-collé
change les die en exit, le closeCursor est inutile, et fait une vérification avant de lancer le header, rajoute le charset dans le DSN

[Tolriq]

Personnellement quand même quitte à utiliser PDO, j'utiliserais les requêtes préparées.

http://php.net/manual/fr/pdo.prepared-statements.php

[stealth35]

Personnellement quand même quitte à utiliser PDO, j'utiliserais les requêtes préparées.

http://php.net/manual/fr/pdo.prepared-statements.php

pourquoi ?

[Tolriq]

Suffit juste de lire le lien que j'ai posté peut être ?

Toujours est il qu'il demande bien comment améliorer le code pour une future réutilisation et augmenter la sécurité.

Le prepare permet d'être sur de ne pas oublier les échappements dans le cas de cet exemple simple.

Et dès qu'il utilisera PDO pour ses select il en verra dans de nombreux cas les avantages en vitesse d’exécution.

[stealth35]

Suffit juste de lire le lien que j'ai posté peut être ?

Toujours est il qu'il demande bien comment améliorer le code pour une future réutilisation et augmenter la sécurité.

Le prepare permet d'être sur de ne pas oublier les échappements dans le cas de cet exemple simple.

Et dès qu'il utilisera PDO pour ses select il en verra dans de nombreux cas les avantages en vitesse d’exécution.

je sais très bien ce que s'est
mais je doute que toi tu saches vraiment a quoi servent les requêtes préparées, parce que c'est pas du tout à "augmenter la sécurité" et " ne pas oublier les échappements"