Discussion :

[misakilou]

Bonjour
J'essaye de comprendre l'interet de la methode bindParam mais j'arrive pas avoir de reponse.
Dans mon code je l'utilise pas , je voudrai savoir si il est comme meme proteger par les injection SQL

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
 
//fichier test.php
<?php
 
	define('HOST', 'localhost' , true);
	define('DBNAME','dev_djit2',true);
	define('LOGIN','root',true);
	define('MDP','',true);
 
 
 
	$connexion = new PDO('mysql:host='.HOST.';dbname='.DBNAME, LOGIN, MDP);
	$connexion->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_WARNING);
 
	function sqlquery($requete, $number)
	{
		global $connexion;
		$query = $connexion->prepare($requete);
 
		$query->execute();
 
		if($number == 1)
		{
			$query1 = $query->fetch(PDO::FETCH_ASSOC);
			//print_r($query1);
			return $query1;
		}
 
 
		else if($number == 2)
		{
			while($query1 = $query->fetch(PDO::FETCH_ASSOC))
			{
				$query2[] = $query1;
 
			}
			return $query2;
		}
 
	}
 
 
?>

et j'utilise cette fonction dans ce fichier

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
<?php
include('test.php');
 
 
 
	$req = "SELECT membre_id, membre_pseudo, membre_mdp ,membre_pics, membre_prenom, membre_nom FROM membres WHERE membre_id = '59' ";
 
	$retour = sqlquery($req,1);
	$_SESSION['membre_pseudo'] = $retour['membre_pseudo'];
	$_SESSION['membre_mdp'] = $retour['membre_mdp'];
	echo $_SESSION['membre_pseudo'];
	echo $_SESSION['membre_mdp'];
?>

[sabotage]

Pour utiliser bindparam ou faire une injection SQL il faut qu'il y ait un élément variable dans la requête.

[Madfrix]

Oui un élément variable provenant d'un utilisateur ayant rempli un formulaire par exemple ou uploadé un fichier de données

[misakilou]

cela va être le cas par la suite mais dans mon cas c'est impossible que j'utilise bindParam vu que j'ai pas accès aux propriété sde $connnexion

[Madfrix]

Comment ca tu n'as pas accès...?

[misakilou]

par exemple si je veux faire sa

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
 
<?php
include('test.php');
 
 $id= $_POST['id'];
 
        $req = $connexion->bindParam(':id' , $id); 
 
 
 
	$req = "SELECT membre_id, membre_pseudo, membre_mdp ,membre_pics, membre_prenom, membre_nom FROM membres WHERE membre_id = ':id' ";
 
	$retour = sqlquery($req,1);
	$_SESSION['membre_pseudo'] = $retour['membre_pseudo'];
	$_SESSION['membre_mdp'] = $retour['membre_mdp'];
	echo $_SESSION['membre_pseudo'];
	echo $_SESSION['membre_mdp'];
?>

$connexion sera pas reconnu , et je suis pas sur qu'on puisse faire le bind avant , je pense que je fonction sqlquery est mal faite et je vois comment faire pour l'appelé et faire le bind