Discussion :

[cheboy]

Bonjour.

Comme d'habitude, je viens de modifier un vieux Code basé sur MYSQL-QUERY (obsolète). Mais encore une fois, j'ai une inquiétude qui est situé au niveau du where ac.accountNo = acc.accountNo de la Variable $statement (Ligne 5).

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
function viewStatements($pin,$phone){
 
global $bdd;
 
$statement = "Select * from Activities ac, accountDetails acc where ac.accountNo = acc.accountNo and mobile=:phone";
 
$resultat = $bdd->prepare($statement); 
 
$result = $resultat->execute([':phone' => $phone]);
 
	$response = "Activities Done for the Account:"; 
 
	while($statementObject = $result->fetchObject()){	
 
 
$response = $response."Account Number: ".$statementObject->accountNo." |Activity Type:".$statementObject->activityType." |Amount:".$statementObject->Amt." |Activity DateTime:".$statementObject->activityDateTime;
 
 
	return $response;
 
	}
}

Aidez-moi à voir si ce code est correcte sur surtout au niveau de la Requête SELECT de la Variable $statement (Ligne 5) "where ac.accountNo = acc.accountNo".

Au fait, je me demande, s'il faut passer le deuxième acc.accountNo en marqueur pour le redéfinir en exécution après comme je l'ai fait à ':phone' => $phone ???

Merci de m'éclairer et de me corriger si erreur se trouve quelque part d'autre dans mon code.

[badaze]

... et quel est le souci ?

[cheboy]

... et quel est le souci ?

Dois-je faire where ac.accountNo = ? pour l'executer avec la requête préparée comme je l'ai déjà fait avec :phone ???
Ou pensez vous que c'est déjà bien comme ça ???

Au fait je crains de l'injection SQL à ce niveau.

[Celira]

On passe en paramètres les variables qui viennent de l'extérieur de la requête.
Par exemple, dans la requête SELECT * from user where id = 1, le "1" est une donnée variable qui vient de l'extérieur de la requête.

Dans ton cas,

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

where ac.accountNo = acc.accountNo

c'est une instruction SQL qui fait partie de la requête. Donc ce n'est pas un paramètre.

Pour qu'il y ait une injection, il faut que quelque chose de nocif rentre dans la requête.
En gros, il y a un risque si tu écris quelque chose du genre "SELECT * from user where id = ".$_POST['id'], parce que tu ne maitrises absolument pas ce qui arrive de ton formulaire. Mais une instruction SQL qui fait partie de la structure de la requête ne craint rien.

Au passage, deux recommandations pour la structure de ta requête :
Utiliser l'intruction JOIN pour faire tes requêtes, ça évite des confusions entre ce qui permet de relier les tables entre elles et les filtres proprement dits Le SQL de A à Z - le SELECT sur plusieurs tables
Faire une liste complète des champs à récupérer dans le SELECT plutôt qu'un SELECT * : ça permet de maitriser ce que tu récupères, de ne pas récupérer 2 fois la même information (dans ton cas, accountNo est retourné 2 fois par la requête : une fois en provenance de la table Activities et une fois en provenance de la table accountDetails )

[cheboy]

Ok. Merci Célira pour la réponse.
Grand merci