Sécurité - PDO/MYSQL et Procédure Stockée

Version imprimable

10/03/2012, 16h43
SaleGamin

Sécurité - PDO/MYSQL et Procédure Stockée
Hello,

Après une demie-journée de recherche infructueuse :cry: j'ai décidé de poster ma question ici :

Les requêtes préparées et PDO c'est une super solution pour éviter les injections SQL. OK :ccool:

Mais qu'en est-il des procédures stockées en MySQL ?

A partir du moment ou on utilise le même syntaxe qu'avec les requêtes préparées :
Code:

1 2 3 4 5 $truc=$_POST["truc"]; $insert ="CALL maprocedure('valeur1', 'valeur2', :truc)"; $test = $connectBDD->prepare($insert); $test->bindParam(':truc', $truc, PDO::PARAM_INT); $test->execute();
Ce genre de code est-il aussi sécurisé que les requêtes préparées ?
Faut-il faire des test supplémentaire à l'intérieur des procédures stockées ?
Si oui comment ? :calim2:

D'avance merci ! ;)
10/03/2012, 17h12
rawsrc

Salut,

Oui PDO sécurise aussi les appels vers les procédures stockées.
La règle veut que tu n'envois jamais des données à la base tant que ces dernières n'ont pas été intégralement testées et validées.
Les procédures stockées n'échappent pas à cette règle. Tu dois tester et valider individuellement tous les paramètres d'une procédure stockée avant exécution.

Après, j'ai vu des bases qui validaient les données dans le corps de la procédure mais ces dernières permettaient l'utilisation de langages tiers tels que C/Python afin de garder la souplesse nécessaire aux codages des tests.
10/03/2012, 17h27
SaleGamin

Merci pour la réponse ;)

Jadis j'utilisai les addslashes, ensuite je suis passé à mysql_real_escape_strings.

Avec PDO j'ai vu qu'il y avait la fonction ->quote() mais qui est réputée fort lente.

La fonction BindParam fait-elle office de validation ?

D'après ce que j'ai pu comprendre, une requête préparée est compilée avant l'appel à ->execute(). Ce qui à pour conséquence que les paramètres ne peuvent générer de nouvelle requête.
Je suppose qu'il en est de même pour l'utilisation d'un "CALL procédure" dans la méthode ->prepare() ?
10/03/2012, 20h18
ABCIWEB

Citation:

Envoyé par SaleGamin

La fonction BindParam fait-elle office de validation ?

J'ai l'impression que tu mélange deux choses, la validité des données et la protection des données.

Avec BindParam tu te protège mieux des injections sql. Mais c'est tout.

Ce n'est pas pour autant que les données entrées sont valides pour ta table et c'est de cela dont te parlait rawsrc