Nom de table variable -> :T_TABLE ou $T_TABLE ?

Version imprimable

31/08/2011, 11h26
Invité

Nom de table variable -> :T_TABLE ou $T_TABLE ?
Bonjour,
Bon. pour mettre à jour mes tutos, je me lance dans PDO.
J'en suis à Comprendre PDO, et déjà une question :
-> comment faire/préparer une requête avec un nom de table en variable ?
j'ai vu ceci :

Citation:

le nom d'une table ne peut faire l'objet d'un paramètre.

on oublie donc (?)
Code:

1 2 $query = "SELECT blabla FROM :T_TABLE;"; $query->bindValue(':T_TABLE', $TABLE_NEWS, PDO::PARAM_STR); // ca ne fonctionne pas
-> alors comment la sécuriser si j'écris (?)

Code:

$query = "SELECT blabla FROM ".$T_TABLE.";";

- mysql_real_escape_string() est-il encore valable ou non (?)
- htmlspecialchars() (?)

Merci.
31/08/2011, 13h04
Benjamin Delespierre
Hello

Vu que tu es quelqu'un d'avisé qui comprends que le nom de la table ne doit jamais provenir de l'utilisateur ni lui être exposé, tu comprendra que tu peux tout à fait utiliser une bête concaténation.

Ce que tu dois faire c'est déterminer le nom de table à utiliser en fonction d'un paramètre reçu. Par exemple:
Code:

1 2 3 4 5 6 7 switch ($action) { case 'utilisateur': $table = '`user`'; break; case 'administrateur': $table = '`admin`'; break; ... } $query = "INSERT INTO {$table} ...";
Après tu sécurise tes paramètre comme d'habitude.
31/08/2011, 13h19
Invité

Citation:

Envoyé par Benjamin Delespierre

le nom de la table ne doit jamais provenir de l'utilisateur ni lui être exposé

Mui claro ! :ccool:
Pour moi, le $T_TABLE provient d'un fichier de configuration interne
-> donc c'est bien MOI qui en définit les noms.

Citation:

Envoyé par Benjamin Delespierre

Après tu sécurises tes paramètre comme d'habitude.

C'est le "comme d'habitude" qui me perturbe (!)
Et un excès de paranoïa, sans doute. Surtout depuis que Stealh35 m'a "confronté" à des failles dans mes formulaires ... (corrigées depuis)
- htmlspecialchar() suffit-il ?
31/08/2011, 14h06
Benjamin Delespierre
Code:

1 2 Pour moi, le $T_TABLE provient d'un fichier de configuration interne -> donc c'est bien MOI qui en définit les noms.
Si c'est coté serveur et que tu les contrôle tu n'a pas besoin de les vérifier / valider de surcroît. Sinon tu ne vas jamais t'en sortir si tu dois tout vérifier et tu vas introduire beaucoup de lourdeur dans ton application (rallentissement, perte de clarté du code etc.)

Citation:

C'est le "comme d'habitude" qui me perturbe (!)
Et un excès de paranoïa, sans doute. Surtout depuis que Stealh35 m'a "confronté" à des failles dans mes formulaires ... (corrigées depuis)
- htmlspecialchar() suffit-il ?

La validation de données ne se cantonne pas à la conversion / suppression des balises. Le meilleur moyen de valider / nettoyer les données reste indubitablement les filtres.
31/08/2011, 14h15
stealth35

de toute façon les c'est pas possible de faire une requête préparé avec la table en paramètre