Discussion :

[Alexdezark]

Bonjour à tous,

Je suis en train de commencer à utiliser PDO pour la création de mes sites.

Avant d'utiliser PDO je faisait un contrôle de login et password de la manière suivante.

Dans la page à laquelle est envoyé la paire à tester :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
if(isset($_POST['login'])){
if($_POST['login']!="")$login=htmlentities($_POST['login'],ENT_QUOTES);else $login="xx";
if($_POST['psswd']!="")$psswd=mysql_real_escape_string($_POST['psswd']);else $psswd="xx";
$utils->secuVAD($login,$psswd);
}

Et dans la classe qui faisait le contrôle :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
public function secuVAD($login,$psswd){
session_start();
$query_rsPass ="SELECT count(*) as nbrs FROM perso WHERE login='".$login."' AND psswd='".$psswd."'";
 
$rsPass=@mysql_query($query_rsPass, $this->BDD);
$row_rsPass = mysql_fetch_assoc($rsPass);
if($row_rsPass['nbrs']==1){
session_regenerate_id();
$_SESSION['nomUtil']=$login;
@mysql_free_result($rsPass);
} else {
echo '<script>window.location.replace("index.php");</script>';
};
}

J'ai donc vu que je devais remplacer mysql_real_escape_string par une requête préparée pour utiliser PDO, mais j'ai besoin d'un peu d'aide pour construire cette requête car je suis un peu perdu

Merci d'avance pour votre aide

[sabotage]

Et hop :
http://php.developpez.com/faq/?page=pdo#pdo-query

[Alexdezark]

Bonjour à tous,

@sabotage : Merci pour le lien

J'ai donc remplacé ma fonction par celle-ci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
public function secuVAD($login,$psswd){
session_start();
$query_rsPass ="SELECT COUNT(*) as nbrs FROM perso WHERE login=:login AND psswd=:psswd";
 
$prep=$this->BDD->prepare($query_rsPass);
$prep->execute(array(':login'=>$login, ':psswd'=>$psswd));
$row_rsPass = $prep->fetch(PDO::FETCH_ASSOC);
 
if($row_rsPass['nbrs']==1){
session_regenerate_id();
$_SESSION['nomUtil']=$login;
} else {
echo '<script>window.location.replace("index.php");</script>';
};
$prep=NULL;
}

Et ça fonctionne sans problème.

Quelqu'un peut-il me dire si cette ligne de code est toujours utile dans la page qui reçoit les données à tester :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if($_POST['login']!="")$login=htmlentities($_POST['login'],ENT_QUOTES);else $login="xx";

Ou si elle peut être remplacée par :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if($_POST['login']!="")$login=$_POST['login'];else $login="xx";

Merci d'avance pour vos réponses.

[sabotage]

En fait ça n'a jamais été utile ; avec l'extension mysql, il faut protéger les chaines avec mysql_real_escape_string().

Avec PDO, on ne protège plus les chaines.

[Alexdezark]

Merci de ta réponse,

Donc maintenant je suis tranquille

[sabotage]

Juste pour être précis, on ne protège plus tant qu'on passe les variables en paramètre d'une requête préparée.

Si tu concatènes tes variables comme on faisait avant, le problème de sécurité est toujours la.