Discussion :

[keokaz]

Bonsoir voici une requête préparer:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
->prepare("SELECT * FROM produit WHERE idProduit IN ($this->id_produit_modifier)");

peut t'on faire une injection sql sur cette requête ?
comment peut t'on binder id_produit_modifier avec pdo ?

merci de vos réponses

[mathieu]

en faisant une boucle qui parcourt les valeurs, vous pouvez construire une requête qui donnera "... WHERE idProduit IN (?, ?, ?, ?)"
et ensuite vous passez les valeurs à "execute"

[ABCIWEB]

Oui ta requête était sensible aux injections car il ne suffit pas d'utiliser la fonction prepare, encore faut-il utiliser des marqueurs comme l'a dit mathieu. La doc est ici

[keokaz]

merci de la réponse ,
tu veux dire comme l'exemple de la document php ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
 
 
<?php
/* Exécute une commande préparée en utilisant un tableau de valeurs pour les clauses IN */
$params = array(1, 21, 63, 171);
/* Crée une chaîne pour les marqueurs */
$place_holders = implode(',', array_fill(0, count($params), '?'));
$sth = $dbh->prepare("SELECT id, name FROM contacts WHERE id IN ($place_holders)");
$sth->execute($params);
?>

avec cette requête il n'y a pas de risque d'injection SQL? même si l'on ne vérifie pas le bon type number qui est dans l'array ?

sinon j'ai essayé ceci et je n'ai pas pas de donnée affiché au niveau de $r->nom et $r->prix

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
 
        $sth =Bdd::getIntance()->prepare("SELECT * FROM produit WHERE idProduit:id"); // IN ($this->id_produit_modifier)");
        $tb_IN = explode(',',$this->id_produit_modifier );
        var_dump($tb_IN);
        foreach($tb_IN as $id)
        {
            echo $id;
            $sth->bindParam(':id', $id);
            $sth->execute();
        }
 
        echo '<a href="index.php">revenir</a>';
        echo "<table>";
        echo "<tr><th>numéro</th><th>nom</th><th>prix</th><th>afficher/cacher</th></tr>";
 
        while($r = $sth->fetch(PDO::FETCH_OBJ)) {
        echo "</tr>
            <td>$r->nom</td>
            <td>$r->prix</td>
            <td>show</td>
            </tr> ";
        }
        echo "</table>";

[sabotage]

Déjà il manque le = dans la requête, c'est une bonne raison pour ne rien recevoir.
Mais également si tu fais des SELECT en boucle, tu ne recolteras pas la totalité des resultats dans ton fetch mais bien uniquement ceux de la dernière requête.

Suivre l'exemple de la doc plutôt que d'inventer est bien sûr une saine chose à faire.

[Celira]

avec cette requête il n'y a pas de risque d'injection SQL? même si l'on ne vérifie pas le bon type number qui est dans l'array ?

Je ne comprends ce que tu veux dire par "vérifier le bon type number dans l'array".

En mixant le code de l'exemple et le tien, on peut écrire ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
// tableau des valeurs à passer dans le IN
$tb_IN = explode(',',$this->id_produit_modifier );
var_dump($tb_IN);
// Crée une chaîne pour les marqueurs 
$place_holders = implode(',', array_fill(0, count($tb_IN), '?'));
 
$sth =Bdd::getIntance()->prepare("SELECT * FROM produit WHERE idProduit IN ($place_holders)"); // IN ($this->id_produit_modifier)");
$sth->execute($tb_IN);
 
echo '<a href="index.php">revenir</a>';
echo "<table>";
echo "<tr><th>numéro</th><th>nom</th><th>prix</th><th>afficher/cacher</th></tr>";
 
while($r = $sth->fetch(PDO::FETCH_OBJ)) {
echo "</tr>
    <td>$r->nom</td>
    <td>$r->prix</td>
    <td>show</td>
    </tr> ";
}
echo "</table>";

[keokaz]

merci de ta réponse

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
Je ne comprends ce que tu veux dire par "vérifier le bon type number dans l'array".

en fait je voulais dire par exemple si dans IN on met des lettre à la place des chiffres, il refusera d'exécuter la requête, puisque qu'on s'attendra
d'avoir uniquement d'avoir un INT plutôt qu'une chaîne de caractère, mais c'est peut être exagérer comme validation puisque même si la requête passe,
dans on champs 'idProduit' je n'ai mis que des nombres, au pire il ne trouvera rien.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
IN(1,2,'2','5','a');

[Celira]

La validation des données et la construction des requêtes sont deux choses différentes.
Si tu veux faire une validation, il faut la faire avant d'essayer de les utiliser. Par exemple, si tes données viennent d'un formulaire, tu fais un contrôle des données à la réception du formulaire, et ensuite seulement tu fais tes requêtes avec.