Discussion :

[Tchupacabra]

Bonjour à tous,

je commence à manipuler PDO avec MySQL.
J'ai appris que PDO offrait une protection des paramètres dans une requête.
Mais à quel niveau exactement ? Cette protection est seulement avec les bindParam ou "tout PDO" ?

Pour le moment, j'ai par exemple:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
try {
	$cnxPDO->exec("DELETE FROM t_membre WHERE login='".$_GET['login']."';");
} catch (PDOException $e) {
	print "Erreur PDO ! : " . $e->getMessage() . "<br/>";
	die();
}

Etant donné que le paramètre "login" provient de GET, est-il nécessaire d'utiliser mysql_real_escape_string() et autres fonctions anti code malveillant ?

Merci d'avance ?

[Invité]

avec pdo tu peut utiliser les paramètre, ce qui suffit en matière d'anti injection.

[Tchupacabra]

tu parles de quels params ? tu peux être plus précis STP...

[Invité]

Au lieu de faire comme tu utilise un PdoStatement (et pas un pdo) , tu fait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$cnxPDO->prepare("DELETE FROM t_membre WHERE login=?;");
$cnxPDO->bindParam(1,$_GET['login'], PDO::PARAM_STR);
$cnxPDO->execute();

[Tchupacabra]

ok merci Bourgui...

mais je croyais (peut être à tord) que la méthode prepare() été destiné à une utilisation répétitive d'une "même" requête... ??? nan ?

[Invité]

perso j'utilise ce genre de requète tout le temp en asp.net et je trouve ça plus propre et en terme de perf, t'y perd quasiement rien je pense.