Discussion :

[Madfrix]

Bonjour,

je sais que via les requêtes préparées, il est impossible de subir des attaques de type injection, mais je n'ai jamais compris le pourquoi du comment

Est-ce PDO qui caste automatiquement les variables connaissant le type à l'avance des champs en base ou...?

Merci de vos éclairssissements

[nosferapti]

PDO échappe automatiquement les données si tu les passe par les méthodes "bind*" ou par "execute"

[Petibidon]

En prenant l'exemple que tu attaques une base mySql,

PDO::PARAM_STRING appliquera un équivalent de mysql_real_escape_string() sur la variable liée.

PDO::PARAM_INT castera la variable en entier, si tu lui passes une chaîne non numérique, ça te rentrera 0 en base.

Edit : fichus smileys automatiques !

[RunCodePhp]

Salut

PDO::PARAM_INT castera la variable en entier, si tu lui passes une chaîne non numérique, ça te rentrera 0 en base.

J'avais fais pas mal d'essai sur ce point là, et j'en avais conclu que PDO ne typait (ou castait) rien du tout.
Les constantres PARAM_INT, PARAM_NULL, etc ... ne provoquait strictement rien sur les valeurs, c'est comme si on ne mettais rien.

J'avais créé un topic la dessus pour avoir des avis d'ailleurs.
-> BindValue() : Paramètre data_type sans effet ?
Apparemment, et selon Julp ça dépendrait du SGBD, du driver/pilote utilisé.

Pour PDO (Php5.3.0) et MySQL5.1.36, ça donne pas grand chose, du moins, selon mes essais.


A coté de ça, il me semble que les requêtes préparées offrent énormément de sécurité contre les SQL injections.

[julp]

C'est la séparation des données de la requête même (les valeurs des colonnes dans une requête update/insert ou au niveau de la clause where notamment) qui assure l'absence d'injections. C'est ensuite totalement géré par le SGBD. La requête préparée aura été analysée/compilée par le SGBD avant la prise en compte des valeurs des paramètres, ces dernières sont donc totalement indépendantes et sans influence.

Les (potentielles) conversions effectuées par PHP ne sont pas liées, elles n'assurent la correspondance de type (PHP vers SGBD) que lorsque nécessaire (d'autant que certaines peuvent être implicitement réalisées par le SGBD).

[RunCodePhp]

Les (potentielles) conversions effectuées par PHP ne sont pas liées, elles n'assurent la correspondance de type (PHP vers SGBD) que lorsque nécessaire

C'est vraiment potentielles, car pour MySQL ce n'est jamais le cas malheureusement.

Si, (par exemple) on met comme paramètre PARAM_NULL et que coté Bdd le champ accepte une valeur nulle, et bien dans tous les cas ce n'est pas une valeur nulle qui sera insérée, au mieux, ça sera vide.
Enfin, si la valeur n'est pas nulle j'entends. Ca veut bien dire que PARAM_NULL n'a aucune relation entre PDO et MySQL.
Si on veux mettre une valeur nulle, on a pas d'autre choix que la valeur soit vraiment nulle, donc on doit traiter le cas avant PDO.
C'est nulle ...


Si ce paramètre n'est pas là pour résoudre ce genre cas (comme caster une variable), alors je dirais qu'il est trompeur, il laisserait sous entendre que ...
Je serais tombé dans l'panneau, si on peu dire.


Pour donner mon sentiment sur les requêtes préparées, et sauf erreur de ma part, vous me direz si je me trompe , mais il me semble que certains y feraient un peu trop confiance.

Si on fait une requête comme celle ci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
$sql = 'SELECT champ FROM table WHERE user_id = '.$_POST['user_id'];
$stmt = $pdo->prepare($sql);
$stmt->execute();

Ici, et théoriquement, on ne serait pas protégé contre une éventuelle injection venant de $_POST.

Il faudrait au moins binder (si on peu dire) la valeur extérieure.
Comme par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
$sql = 'SELECT champ FROM table WHERE user_id = ?';
$stmt = $pdo->prepare($sql);
$stmt->execute(array($_POST['user_id']));

Ou

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
$sql = 'SELECT champ FROM table WHERE user_id = :user_id';
$stmt = $pdo->prepare($sql);
$stmt->bindValue(':user_id', $_POST['user_id'], PDO::PARAM_INT);
$stmt->execute();

Ici on profite pleinement des requêtes préparées pour le coté sécurité.