IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Zend_Db PHP Discussion :

Sécurisation de requete


Sujet :

Zend_Db PHP

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Lead dév - Architecte
    Inscrit en
    Août 2003
    Messages
    6 693
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Lead dév - Architecte
    Secteur : Industrie

    Informations forums :
    Inscription : Août 2003
    Messages : 6 693
    Par défaut Sécurisation de requete
    Bonjour à tous,

    Je me met doucement à ZF et j'ai un doute au nivea udes requetes avec Zend_Db.

    1- Select

    j'ai par exemple cette requete :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
     
    $rq = 'SELECT * FROM user WHERE id=:id';
    $binds = array('id'=>1);
    $result = $sql->fetchOne($rq,$binds);
    Il est dit que toutes les requetes sont préparées , donc en principe je n'ai rien de spécial à faire niveau sécu (genre mysql_real_escape_string) , exact ?

    2- Insert/update

    Au niveau des insert et update je suis plus dans le flou car dans la doc il parle de la méthode quote() , qui si j ai bien tout compris permet d'échapper les apostrophes. Cependant il est bien précisé que ca n'échappe pas les caractère dis spéciaux comme le ferais mysql_real_escape_string.
    Note that the return value of quote() includes the quote delimiters around the string. This is different from some functions that escape special characters but do not add the quote delimiters, for example mysql_real_escape_string().
    Quid de la sécurité ? Suis je toujours avec des requetes préparé auquel cas les attaques classiques par injection seront filtrées ? Ou y'a t'il d'autres mesure à prendre ?

    Merci
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  2. #2
    Modérateur

    Avatar de MaitrePylos
    Homme Profil pro
    DBA
    Inscrit en
    Juin 2005
    Messages
    5 506
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 52
    Localisation : Belgique

    Informations professionnelles :
    Activité : DBA
    Secteur : Service public

    Informations forums :
    Inscription : Juin 2005
    Messages : 5 506
    Par défaut
    Par sécurité, dans ce genre de cas, je vérifie le code.

    donc le update , nous donne ceci, je fais court et je ne met pas tout le code
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
     
    $stmt = $this->query($sql, array_values($bind));
    dans la méthode query, je retrouve
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
     
    $stmt = $this->prepare($sql);
    Le update est donc préparé

Discussions similaires

  1. [MySQL] Sécuriser ses requetes MySQL
    Par flo73 dans le forum PHP & Base de données
    Réponses: 2
    Dernier message: 23/07/2010, 20h28
  2. [MySQL] mieux sécuriser encore les requetes
    Par pierrot10 dans le forum PHP & Base de données
    Réponses: 2
    Dernier message: 19/05/2009, 22h52
  3. sécuriser les requetes update
    Par joboy84 dans le forum Requêtes
    Réponses: 1
    Dernier message: 25/05/2008, 22h23
  4. [VBA-E] Requetes depuis Excel sur une Base Access sécurisée
    Par DhiSan dans le forum Macros et VBA Excel
    Réponses: 1
    Dernier message: 31/05/2006, 18h44
  5. [AJAX] requetes sécurisées
    Par Sniper37 dans le forum Servlets/JSP
    Réponses: 2
    Dernier message: 26/04/2006, 16h06

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo