Discussion :

[elcoyotos]

Bonjour,

Ma question est toute simple : Je suis sous PHP/MYSQL et jusqu'à présent, j'utilise des requêtes classiques du style

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$sqlcit = "SELECT idcit,textecit FROM citations ORDER BY rand() LIMIT 1";
$resultcit = mysql_query( $sqlcit , $conn );
$rowcit = mysql_fetch_assoc( $resultcit );

J'ai lu qu'à partir de PHP6 ces requêtes ne fonctionneraient plus. Est ce vrai ?

Une autre question : Pour mes données insérées dans ma BDD j'utilise

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_real_escape_string

Pour les données affichées j'utilise en fonction de Magic quotes on ou off soit

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

stripslashes

soit

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

addslashes

puis un

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

htmlentities

Est il vrai que PDO gère tout ça ? En d'autres termes est ce que j'aurai encore à me soucier de "tout ce bordel" ?

Et donc, dois je passer à PDO ?

Merci d'avance de vos réponses ...

[sabotage]

PDO sera l'extension de base de donnée mise en avant dans PHP6 mais les anciennes extensions pourront toujours être activées.
Il est d'ailleurs probable que les hebergeurs qui passeraient a PHP6 continuent à les proposer en plus de PDO.

Pour les magic_quotes, ca sera definitivement reglé puisqu'elles disparaissent.

Concernant mysql_real_escape_string(), ca n'existe pas en PDO : pour inclure des paramètres dans une requête, on peut utiliser des requetes préparées.

Et donc, dois je passer à PDO ?

Si ton hebergement le propose et que tu écris un nouveau code, tu peux en profiter pour le faire en PDO.
A savoir quand même qu'au niveau performance PDO n'apporte actuellement rien, ou même est plus lent.
Son interêt se situe plus au niveau des fonctionnalitées.

[elcoyotos]

Merci de ta réponse Sabotage.

Concernant mysql_real_escape_string(), ca n'existe pas en PDO : pour inclure des paramètres dans une requête, on peut utiliser des requetes préparées.

Ce qui veut dire qu'elles sont protégées d'une injection SQL ?

Si ton hebergement le propose et que tu écris un nouveau code, tu peux en profiter pour le faire en PDO.

Ce qui veut dire qu'il n'est pas nécessaire de passer à PDO ?

Son interêt se situe plus au niveau des fonctionnalitées.

Que veux tu dire par là ? Peux tu m'en dire plus ?

Encore merci ....

[sabotage]

Les requêtes préparées sont effectivement a l'abri des injections.
Ca donne ça par exemple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
$sql = "SELECT password FROM table WHERE login = :login";
$sth = $dbc->prepare($sql);
$sth->execute(array(':login'=>$login));

Comme tu le vois la requete n'est plus construite a la main en y insérant les valeurs : on crée la requete et on fournit les valeurs ensuite, on ne s'occupe meme pas des guillemets encadrant les valeurs ou non.

Ce qui veut dire qu'il n'est pas nécessaire de passer à PDO ?

Je pense que les extensions mysql_ seront disponibles encore longtemps sur les hebergements, même en PHP6.
On trouve encore des hebergements PHP4 alors qu'il est définitivement arrêté depuis 1 ans et que PHP5 existe depuis 5 ans.

Concernant les fonctionnalités, les requêtes préparées c'est déjà sympa.
Pour reprendre mon exemple au dessus on peut egalement executer plusieurs fois la meme requête avec des valeurs différentes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$sth->execute(array(':login'=>'toto'));
$sth->execute(array(':login'=>'titi'));
$sth->execute(array(':login'=>'tutu'));

On peut egalement recuperer l'ensemble des lignes d'une requetes d'un coup avec FetchAll.

L'idée aussi quand même avec PDO c'est d'avoir une interface de programmation unique pour toutes les base des données (même si concretement on est toujours limité par les syntaxes SQL des differents SGDB).

[elcoyotos]

Merci pour tes précisions
Bon, en résumé, si j'ai bien compris, il n'est pas nécessaire de passer à PDO.
Pourtant, PDO offre, malgré plus de lenteur, des avantages certains et une compatibilité avec le futur. Est ce bien ça ?
Si oui, me conseillerais tu de passer à PDO sur mon site ?

[sabotage]

Disons que les améliorations futures seront surement ciblées sur PDO mais les phases de developpement de PHP sont quand même longues.

[elcoyotos]

Merci beaucoup