Discussion :

[karl3i]

Bonjour,

j'ai écrit le code suivant pour créer une base de données :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
                   try {
         $oPdo = new PDO('mysql:host=localhost', 'root', '', 
         array(PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION)
        );
 
        $sRequete = "CREATE DATABASE :sBaseName DEFAULT CHARACTER SET utf8";
 
        $oPrepared = $oPdo->prepare($sRequete);
                               echo $oPrepared->queryString; // afficher requête
                               $oPrepared->execute(array("sBaseName" => "test"));
                  }
                  catch(Exception $e) {
                    throw new creationbasededonneesException($e->getMessage());
                  }

J'obtiens le message d'erreur :

CREATE DATABASE ':sBaseName' DEFAULT CHARACTER SET utf8Erreur : SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '':sBaseName' DEFAULT CHARACTER SET utf8' at line 1

A noter que si j'enlève la variable "sBaseName" de la requête préparée et que je mets directement un nom de base (par exemple : "toto"), la base est bien créée.

Voyez-vous d'où le problème peut venir ?

Merci.

[Climoo]

Ouais, je pense que j'ai une idée d'où peut venir le problème...
A mon avis, quand il remplace ton paramètre, il ajoute des apostrophes autour du nom de la base de données, ce qui donne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

CREATE DATABASE 'test' DEFAULT CHARACTER SET utf8

Mais avec des apostrophes malheureusement, MySQL aime pas...
Par contre, avec des antiquote, cela marcherait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

CREATE DATABASE `test` DEFAULT CHARACTER SET utf8

Attention quand même à ce que pourrait contenir la variable avec le nom de la base de données (caractères non autorisés).

Par contre, je sais pas quel est le meilleur moyen de faire ça avec PDO.

[karl3i]

Merci pour ta réponse.

Je peux faire ça aussi :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
try {
         $oPdo = new PDO('mysql:host=localhost', 'root', '', 
         array(PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION)
        );
 
        $sRequete = "CREATE DATABASE $this->sNomBaseDeDonnees DEFAULT CHARACTER SET utf8";
 
        $oPrepared = $oPdo->prepare($sRequete);
		//echo $oPrepared->queryString; // afficher requête
		$oPrepared->execute();

Mais ça me protège (probablement) pas des injections SQL contrairement une PreparedStatement avec variable.

[CinePhil]

Ceci évitera déjà pas mal de risques je pense :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_real_escpae_string($this->sNomBaseDeDonnees)

[julp]

On ne peut mélanger PDO et autres fonctions (mysql_* comme mysqli_*).

Un nom SQL (comme une table, base de données, fonctions SQL, etc) ne peut faire l'objet d'un paramètre dans une requête préparée. Au final, il faut en faire la "validation" soi-même (ctype, regexp, liste blanche - array/in_array, etc).

[CinePhil]

Au fait, karl3i, pourquoi ton programme crée une base de données ?
C'est plutôt rare en principe comme besoin.
Généralement, le programme utilise une BDD existante mais n'a pas à en créer, surtout qu'il faut des droits élevés sur le serveur pour ça.