IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

PHP & Base de données Discussion :

Sécurité d'une requête préparée [MySQL]


Sujet :

PHP & Base de données

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. 03/10/2013, 10h10 #1
    Anibel
    Anibel est déconnecté
    Membre confirmé
    Inscrit en
    Janvier 2013
    Messages
    125
    Détails du profil
    Informations forums :
    Inscription : Janvier 2013
    Messages : 125
    Par défaut Sécurité d'une requête préparée
    Salut tout le monde,

    J'ai commencé à utiliser PDO et je veux savoir si le code suivant est bien sécurisé:
    Code php : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
     
if ((isset($_POST["MM_insert"])) && ($_POST["MM_insert"] == "form2")) {
 
$q = $conn->prepare("INSERT INTO client (name, address) VALUES (:name, :address)");
$q->bindValue(':name', $_POST['name'], PDO::PARAM_STR);
$q->bindValue(':address', $_POST['address'], PDO::PARAM_STR);
$q->execute();
 
}

    Merci d'avance
    Répondre avec citation Répondre avec citation   0  0
  2. 03/10/2013, 10h38 #2
    sabotage
    sabotage est déconnecté
    Modérateur
    Avatar de sabotage
    Homme Profil pro
    Inscrit en
    Juillet 2005
    Messages
    29 208
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : Juillet 2005
    Messages : 29 208
    Par défaut
    Pour les injections, oui.
    Pense toutefois que l'utilisateur peut saisir n'importe quoi comme du code javascript etc.
    N'oubliez pas de consulter les FAQ PHP et les cours et tutoriels PHP
    Répondre avec citation Répondre avec citation   0  0
  3. 03/10/2013, 10h39 #3
    grunk
    grunk est déconnecté
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Lead dév - Architecte
    Inscrit en
    Août 2003
    Messages
    6 693
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Lead dév - Architecte
    Secteur : Industrie

    Informations forums :
    Inscription : Août 2003
    Messages : 6 693
    Par défaut
    Ça empêchera pas l'utilisateur de rentrer n'importe quoi dans la base (des chiffres à la place du nom par exemple) mais tu es protégés des injections SQL si c'est la question
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java
    Répondre avec citation Répondre avec citation   0  0
  4. 03/10/2013, 10h43 #4
    Anibel
    Anibel est déconnecté
    Membre confirmé
    Inscrit en
    Janvier 2013
    Messages
    125
    Détails du profil
    Informations forums :
    Inscription : Janvier 2013
    Messages : 125
    Par défaut
    Merci beaucoup Sabotage et Grunk
    Répondre avec citation Répondre avec citation   0  0
  5. 03/10/2013, 11h01 #5
    papajoker
    papajoker est déconnecté
    Expert confirmé Avatar de papajoker
    Homme Profil pro
    Développeur Web
    Inscrit en
    Septembre 2013
    Messages
    2 324
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Nièvre (Bourgogne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Septembre 2013
    Messages : 2 324
    Par défaut
    Bonjour,

    Si l'on désire un minimum de sécurité (contre pirates ET pour avoir des données valides dans la BD),
    Normalement on doit filtrer toute entrée venant d'un formulaire,
    donc chaque input 1 par 1 !


    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    filter_input(INPUT_GET,'email', FILTER_VALIDATE_EMAIL));
filter_input(INPUT_POST,'urldusite', FILTER_VALIDATE_URL, FILTER_FLAG_PATH_REQUIRED)
    Répondre avec citation Répondre avec citation   0  0
  6. 03/10/2013, 11h39 #6
    Anibel
    Anibel est déconnecté
    Membre confirmé
    Inscrit en
    Janvier 2013
    Messages
    125
    Détails du profil
    Informations forums :
    Inscription : Janvier 2013
    Messages : 125
    Par défaut
    J'ai pas compris papajoker, où dois-je placer ton code dans le mien?

    Autre chose, comment se protéger contre autre types d'injection?

    Est ce que c'est possible de développer une fonction qui assure tout ça?
    Répondre avec citation Répondre avec citation   0  0
  7. 03/10/2013, 11h59 #7
    papajoker
    papajoker est déconnecté
    Expert confirmé Avatar de papajoker
    Homme Profil pro
    Développeur Web
    Inscrit en
    Septembre 2013
    Messages
    2 324
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Nièvre (Bourgogne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Septembre 2013
    Messages : 2 324
    Par défaut
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    if ($_POST[]){
 
$_POST['name']=filter_input(INPUT_POST,'name', FILTER_VALIDATE_EMAIL);
if $_POST['name']===false)  die();
$_POST['address']=filter_input(INPUT_POST,'address', FILTER_VALIDATE_URL, FILTER_FLAG_PATH_REQUIRED);
if $_POST['address']===false)  die('valeur incorrecte');
 
$q = $conn->prepare("INSERT INTO client (name, address) VALUES (:name, :address)");
$q->bindValue(':name', $_POST['name'], PDO::PARAM_STR);
$q->bindValue(':address', $_POST['address'], PDO::PARAM_STR);
$q->execute();
 
}
    ici filtres email et url mais c'est pour l'exemple
    http://www.php.net/manual/fr/function.filter-input.php

    il existe en cherchant de nombreuses librairies de validation.
    Répondre avec citation Répondre avec citation   0  0
+ Répondre à la discussion
Cette discussion est résolue.
ActualitésFAQ PHPCours PHPSources PHPLivres PHPScripts PHPOutils PHPLaravelSymfonyZend Framework
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. [PDO] Remplacer mysql_real_escape_string par une requête préparée
    Par Alexdezark dans le forum PHP & Base de données
    Réponses: 6
    Dernier message: 23/03/2010, 20h22
  2. [PDO] Affichage d'une requête préparée
    Par Tchupacabra dans le forum PHP & Base de données
    Réponses: 4
    Dernier message: 25/02/2010, 03h48
  3. [PDO] Debug d'une requête préparée
    Par Tchupacabra dans le forum PHP & Base de données
    Réponses: 2
    Dernier message: 19/10/2009, 21h44
  4. Récupérer le texte d'une requête préparée
    Par maghraoui dans le forum JDBC
    Réponses: 4
    Dernier message: 27/05/2009, 15h34
  5. [PDO] une requête préparée pour un insert avec jointure?
    Par seïna dans le forum PHP & Base de données
    Réponses: 8
    Dernier message: 15/08/2008, 00h34

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo