Discussion :

[sam01]

Bonjour à tous,

je débute en requête PDO et j'aimerais savoir si la requête suivante va bien faire apparaître un message dans la cas où elle ne serait pas correcte :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$sqlm = $db("SELECT mail, nom, prenom, civilite FROM flatforswap_adherent WHERE id_adh=?");
$reqm->execute(array($_SESSION["id_adh"]));
$datam = $reqm->fetch();

Ma connexion à la base de données se fait dans une page connexion.php qui contient le code suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
try{
	$db = new PDO('mysql:dbname=bdd;host=localhost', 'user', 'mdp', array(PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION)););
}
catch (Exception $e){
        die('Erreur : ' . $e->getMessage());
}

[sabotage]

Ton code n'est de toute façon pas bon, tu as oublié le "prepare".
Mais dans ton cas, l'id stocké dans une session est une donnée fiable (ou alors ton code est vraiment mal fichu), la requête n'a pas besoin d'être préparée.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$sqlm = $db->query("SELECT mail, nom, prenom, civilite FROM flatforswap_adherent WHERE id_adh=" . $_SESSION["id_adh"]);
$datam = $reqm->fetch();

[sam01]

Bonjour Sabotage,

au fait je n'ai pas envie de me poser à chaque fois la question si la donnée est fiable ou pas.
Je veux préparer la totalité de mes requêtes afin de ne pas avoir de mauvaises surprises.
Exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
<?php
$req = $bdd->prepare('SELECT nom FROM jeux_video WHERE possesseur = ? AND prix <= ?');
$req->execute(array($_GET['possesseur'], $_GET['prix_max']));
?>

Je sais que c'est une methode GET donc plus dangeureuse, mais mon but est de l'appliquer partout...

[sabotage]

La meilleure façon de concevoir la sécurité est de réfléchir à tous les aspects du code.
On voit malheureusement trop de personnes qui appliquent aveuglement des méthodes sans comprendre ce qu'elles font, et donc mal.
On voit aussi malheureusement trop de personnes qui ne font rien. Tu peux préparer toutes les requêtes, cela demande seulement un peu plus de travail à mysql (ou à PHP si tu n'as pas désactivè l’émulation de la préparation).

[sam01]

bon, ben si je comprends bien je n'aurais pas de réponse à ma question concernant les message d'erreurs

Et comment savoir quelle requêtes faut-il préparer et lesquelles il ne faut pas préparer ?

[sabotage]

Je n'ai pas compris ta question. Si tu veux vérifier si l'exception se déclenche bien, provoque volontairement une erreur, tu auras la réponse tout de suite.

[laurentSc]

La réponse de Sabotage est logique et pour savoir si une requête doit être préparée, c'est le cas si elle utilise une variable dont la valeur peut être affectée par l'utilisateur. Mais tu peux effectivement les préparer systématiquement...