Discussion :

[codefalse]

Bonjour à vous

J'ai un petit soucis, je m'explique.

J'aimerai faire ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
// $oPdo est une instance de PDO
$oPdo->prepare ('USE ?;')->execute (array ($_GET['dbname']));

Sauf que PDO va mettre "my_database' entre simple quotes. Et la commande USE accepte uniquement des doubles quotes ("), ou des "ticks" (`). Du coup, la requête plante.

Mais comme vous le voyez, je ne peux pas trop faire confiance à ce qui arrive (vu que ca vient de $_GET), et donc par sécurité, je suis obligé d'échaper la variable pour la protéger des attaques de type SQL Injection.

Mais du coup je ne sais pas comment faire ! :s

Auriez-vous une idée ?

Merci beaucoup de votre aide !

[sabotage]

Je crois que les requetes préparées ne sont pas prévues pour prendre des noms de table comme argument.
De la meme facon, on ne peut pas faire un SELECT * FROM :table

[codefalse]

Mais du coup, j'ai quand même fait des recherches un peu partout, j'ai parlé avec les gars de php sur le channel irc.
Il s'est avéré que la meilleure facon serait d'utiliser les expressions régulières.

Je pensais juste vérifier s'il y avait l'existence de caractères non autorisés, c'est à dire /, \ et .
(d'après la doc MySQL)

Mais le type peux faire des sql injections en mettant des choses genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql';DELETE * FROM mysql.user;

par exemple, non ? c'est ca en fait qui me chagrinne :p

[mathieu]

Mais le type peux faire des sql injections en mettant des choses genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql';DELETE * FROM mysql.user;

par exemple, non ? c'est ca en fait qui me chagrinne :p

oui tu as raison de t'inquiéter de ça

pour être sur d'avoir une base valide tu peux par exemple lister toutes les base de données avec "SHOW DATABASES" et vérifier si la variables est dans la liste :
http://dev.mysql.com/doc/refman/5.0/...databases.html

[codefalse]

Ca peux faire un peu lourd tu ne crois pas ?

En effet si tu prends en compte le fait qu'il peux y avoir beaucoup de bases de données, ca ferait deux fois la requête au lieu d'une. Bon après elle peux être en cache ....

ralala