Discussion :

[encoremoi21258]

Bonsoir,

Depuis déjà quelques mois je suis en train de coder un site. On m'a donné quelques modules d'un autre site dont je peux m'aider afin de gagner du temps.
Surprise, les requêtes SQL ne sont pas faites de la même manière que chez moi.

Moi je fais des choses du genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
try {											
    $req_recherche_id_idx = $pdo_gamedata->prepare('SELECT id_idx FROM u_hero WHERE name = :PSEUDO;');  
    $req_recherche_id_idx->bindParam(':PSEUDO', $pseudo, PDO::PARAM_STR, 25);
    $req_recherche_id_idx->execute();
    $resultat_recherche_id_idx = $req_recherche_id_idx->fetchAll();
} catch (Exception $e) { }

et lui fait des choses du genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$pseudo = GET['pseudo'];
$Query = mysql_query("SELECT id_idx FROM u_hero WHERE name = $pseudo");
$Array = mysql_fetch_row($Query);
echo $Array[0];

Je souhaite donc savoir ce qui est le mieux d'après vous.

J'ai également remarqué qu'il possède une fonction de "nettoyage" de chaîne de caractère qui supprimer les insert select drop delete -- '' "" et autres choses de ce genre comme les < >, etc etc avant leur utilisation dans une requête SQL.

Qu'en pensez vous ? Requête préparée ? Ou plutôt fonction SQL ? Avec ou utilisation de la fonction de "nettoyage" (sous entendu, est-ce utile ou est ce déjà assez sécurisé sans elle ?) ?

Personnellement je dirais que les fonctions SQL sont meilleures car il y a certainement pas mal de choses qui sont faites derrière. Mais je ne trouve pas comment utiliser diverses bases de données sur une même page PHP en utilisant des fonctions SQL, de ce côté là les requêtes préparées ont l'air beaucoup plus pratiques.

Merci d'avance de votre aide

[Tsilefy]

$pseudo = GET['pseudo'];
$Query = mysql_query("SELECT id_idx FROM u_hero WHERE name = $pseudo");

BAAAAAMMM.

Ça, c'est le bruit de la base de données qui vient de tomber aux mains d'un hacker de niveau débutant. Celui qui a écrit ce code est soit vieux et barbu (puisque c'est ce qu'on faisait il y a dix ans), soit mauvais.

C'est simpe: ne jamais utiliser les fonctions mysql_* . Ces fonctions sont dépréciées depuis PHP 5.5 (c'est--à-dire que PHP affiche des avertissements quand on les utilise), et ne seront plus présentes dans PHP à partir de PHP 7, qui sortira cette année.

C'est toi qui a raison d'utiliser PDO (ou mysqli) et les requêtes préparées.

[encoremoi21258]

Bonjour,

Merci de votre réponse, c'est bien ce que je pensais.

Bonne journée

[Djakisback]

Bonjour,
il faudrait aussi regarder ce que fait sa fonction de nettoyage car PDO traite uniquement les entrées sensibles aux injections SQL, pas aux autres...
(Par ailleurs @Tsilefy si des trucs comme PDO ont été développés c'est certes pour faciliter les devs expérimentés mais c'est surtout pour pallier au manque de rigueur et de compétence des non-vieux et non-barbus, car non, même il y a dix ans ça reste un code non sécurisé )