Discussion :

[chido]

Bonjour à tous,

Je viens de reprendre le PHP avec base SQL mais je suis perdu....

J'aimerais connaitre le meilleur moyen actuel (sécurisé) pour se connecter à une base SQL. J'ai trouvé des informations sur la méthode via PDO mais je ne comprends pas tous et je n'aime pas faire du copier/coller de code sans comprendre..

Est-ce que la méthode via PDO est le meilleur moyen actuel ?

Merci !

[Gecko]

Salut!

L'utilisation de PDO est plus sécurisée quand il est correctement implémenté. Les avantages sont nombreux.

En gros avec PDO si tu utilises les requêtes préparées tes variables seront systématiquement protégées contre les injections donc plus besoin des déclarer 50 fonctions en amont de ta requête.

Voici un exemple pour deux types de requêtes:

Une requête simple sans variable

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$pdo->query('SELECT name FROM user WHERE id = \'2\'');

Une requête avec variables

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$req = $pdo->prepare('SELECT name FROM user WHERE id = :id ');
$req->bindValue(':id',$_POST['id']); // C'est grossier, il est évident qu'il faudra un minimum de contrôles en amont
$req->execute();

Pour la seconde requête :id est un marqueur donc tu ne dois pas l'encapsuler entre quote, sinon tu enverrai :id et non le contenu de $_POST['id']. binValue sert à attribuer une variable à un marqueur, cette variable sera traitée pour que les injections ne soient pas possibles.

tu peux faire une variante de cette requête, certains trouvent ça mieux:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$req = $pdo->prepare('SELECT name FROM user WHERE id = :id ');
$req->execute(array(':id'=>$_POST['id'])); // C'est grossier, il est évident qu'il faudra un minimum de contrôles en amont

Pour finir je dirai que PDO c'est que du bonheur, avec une bonne gestion on peux rendre un système portable sur quasiment tous types de BDD

[Doksuri]

tres bonne explication de PDO =)

j'ajouterai que pour securiser encore plus tes variables, tu peux ajouter le type de variable qu'on est sense attendre lors du bindValue.

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

$req->bindValue(':id', $_POST['id'], PDO::PARAM_INT);

il y a PARAM_INT et PARAM_STR pour les plus courants.

[chido]

Merci beaucoup !!! Je continu mon PDO alors sans aucun soucie !!

[ascito]

bonsoir,

je me mets à jour aussi, et ai codé cela

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
    protected  function _query($query,$array )
    {
 
        $id=0;
        $dbh = $this->connect();
        if($query===''){
            $sth = $this->curentQuery;
        }else{
            $sth = $dbh->prepare($query);
            $this->curentQuery = $sth;
                foreach($array as $key =>$v ){
                $sth->bindParam( ':'.$key ,$v );
                }
        }
        //$sth->bindParam(':id' ,$id );
 
        try {
        $sth->execute();
        return $this->result($sth->fetchAll(PDO::FETCH_CLASS,'mysqlPdo'));
        }
        catch (PDOException $e) {
            throw new Exception("Error occured while saving your object", null, $e);
        }  
 
    }

vous noterais l'absence du typage des variables, d’où mon post suite, quelqu'un à t'il fait sa class pour donner un type constante de class, a la variable passé dans bindParam, en détéctant son type ?