Discussion :

[Neelix57]

Bonjour,

J'utilise des requêtes $_GET pour récupérer les paramètres de les liens.

Par exemple:

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

<a href="accueil.php?page=Flash">

Et je sécurisais mes liens en utilisant un fichier includes.php:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$checkPage = array('Livre' => 'livre.php', 'Series' => 'series/series.php'
...

Hors, pour afficher les fiches séries, je ne crée plus une page par fiche série, je passe maintenant par une base de données.
J'utilise maintenant des variables en lieu et place des noms de pages.

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

<a href="accueil.php?page=Series_Record&series='.$row['seriesId'].'&title='.$row['seriesTitle'].'">'.$row['seriesTitle'].'</a>

Comment puis-je, dans ce cas, sécuriser tout ça ?

[Nb]

Ben quand tu reçoit le seriesId j imagine que tu vas chercher le detail en bd donc tu fais une requete préparée avec l id récupéré et un minimum nettoyé.

Ps. Je ne sais pas ce que tu cherches à faire mais tu sembles passer en parametre l id et le titre d une serie pour en recuperer le detail en base, si c est le cas le titre ne sert a rien puisque tu as un id.

[Neelix57]

Ps. Je ne sais pas ce que tu cherches à faire mais tu sembles passer en parametre l id et le titre d'une série pour en récupérer le detail en base, si c est le cas le titre ne sert a rien puisque tu as un id.

Effectivement, je me rends compte que c'est inutile.

J'utilise déjà des requêtes préparées. Mais j'aimerais éviter qu'on ne puisse rentrer un paramètre dans l'url, car cela planté la page. Je préférerais un message d'erreur ou que
ça provoque une redirection vers une autre page.

[domi65]

Une requête préparée fait deux appels à la BDD. A mon avis, elle mobilise inutilement des ressources lorsque le paramètre passé est censé être un entier (à moins bien sûr qu'elle ne soit réutilisée dans le script), ce qui, si j'ai bien compris est le cas ici. Il suffit de vérifier que c'en est bien un par la fonction ctype_digit.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
if(ctype_digit($_GET['mavariable')) {
    // OK, traitement
}
else {
   // redirection ou ce qu'on veut
}

Je veux bien être contredit si je dis une bêtise.

[Séb.]

Je suis d'accord avec domi65 sur les requêtes préparées.

Mais j'aimerais éviter qu'on ne puisse rentrer un paramètre dans l'url, car cela planté la page

Il faut accepter que l'utilisateur puisse modifier l'URL.
À toi d'avoir un code suffisamment robuste pour prendre en compte la situation.

Si l'utilisateur supprime un paramètre => Tu dois prendre en compte son absence et afficher "Pas de résultat" ou "Requête incorrecte"
Si l'utilisateur remplace l'ID série par une valeur farfelue => Tu dois afficher "Pas de résultat" ou "Requête incorrecte"
etc.

[Neelix57]

Bonjour et merci pour vos réponses.

Je n'ai pas eu beaucoup le temps de me consacrer à tout ça ces temps-ci.

Après maints essais, je ne parviens pas à afficher un message d'erreur en cas de paramètre erroné ou d'absence de paramètre.

Voila ce qui me semblait pourtant le plus adapté:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
$sql = <<<SQL
	SELECT * FROM SERIES
	WHERE seriesId = :seriesId
	SQL;
$idQuery = $pdo->prepare($sql);
$idQuery->bindParam(':seriesId', $seriesId, PDO::PARAM_INT);
$idQuery->execute();
$row = $idQuery->fetch();
if(!isset($row)) {
   	include('error.php');
}

J'ai essayé également avec ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
$sql = <<<SQL
	SELECT * FROM SERIES
	WHERE seriesId = :seriesId
	SQL;
$idQuery = $pdo->prepare($sql);
$idQuery->bindParam(':seriesId', $seriesId, PDO::PARAM_INT);
$idQuery->execute();
$row = $idQuery->fetch();
if($row = 0) {
   	include('error.php');
}

Je reviens également sur ma réponse précédente:

Ps. Je ne sais pas ce que tu cherches à faire mais tu sembles passer en paramètre l id et le titre d'une série pour en récupérer le détail en base, si c est le cas le titre ne sert a rien puisque tu as un id.

Effectivement, je me rends compte que c'est inutile.

J'ai tout de même besoin du paramètre 'title' pour afficher le titre de la série comme titre de page.
Mais c'est peut-être l'un des nœuds du problème ?