mysql_real_escape_string en PDO?

Version imprimable

21/03/2015, 23h22
art23

mysql_real_escape_string en PDO?

Bonjour,

Pour mon site, je suis en train de modifier le mysql en PDO. Et avant pour sécuriser les informations, j'utilisais le code suivant:

Code:

mysql_real_escape_string

Mais comme ce code est devenu obsolète, je dois le changer en PDO. Mais je suis un peu perdu.
Je voulais savoir s'il existe un code équivalent et comment je pourrai le mettre en pratique?

Le code de cette partie est le suivant:

Code:

$_GET['id'] = mysql_real_escape_string(htmlspecialchars($_GET['id']));

Merci d'avance pour votre aide.
22/03/2015, 00h01
ABCIWEB

Salut,

L'équivalent de mysql_real_escape_string pour pdo est la fonction quote(). C'est pas tout à fait l'équivalent car la fonction quote met des quotes en début et en fin de chaine.
A la place de

Code:

$query = "SELECT * from table WHERE champ = '".mysql_real_escape_string($_POST['champ'])."' AND ... "

c'est donc

Code:

$query = "SELECT * from table WHERE champ= ".quote($_POST['champ'])." AND ... "

Cela dit avec pdo on recommande de faire des requête préparées pour une meilleure sécurité dès que l'on intègre des variables utilisateurs dans la requête.
22/03/2015, 00h28
ovh

Citation:

Envoyé par ABCIWEB

Cela dit avec pdo on recommande de faire des requête préparées pour une meilleure sécurité dès que l'on intègre des variables utilisateurs dans la requête.

Exactement, c'est sans nul doute vers les requêtes préparées que tu dois te tourner pour moderniser ton appli.
22/03/2015, 02h48
art23

mysql_real_escape_string en PDO?

Bonsoir,

Merci pour vos réponses.

Comment on peut faire des requetes preparées? J'ai cherché sur le site de PHP mais je n'ai pas très bien compris.

Merci d'avance,
22/03/2015, 06h51
ABCIWEB

Salut,

T'as regarder quelle page ? Celle-ci est très bien pour commencer.

Et puis y'a un tuto ici. La seule critique sur ce tuto est qu'il ne parle pas de la possibilité de passer un tableau dans la fonction execute(), ce qui est pourtant très pratique. Il s'en suit que le paragraphe IV.b (Comment faire face à un nombre de place holders dynamique) est très laborieux et en plus on utiliserait de préférence array_fill() pour construire dynamiquement le tableau de marqueurs. Mais bon à par ce paragraphe le reste est intéressant.

Et puis n'oublie pas la doc php, il faut regarder un peu toutes les fonctions car les exemples sont répartis sur les nombreuses fonctions. Celle de prépare() donne aussi des exemples avec des tableaux passés en paramètre dans la fonction execute().

Un peu plus tard (ou pendant ces lectures) faudra t'intéresser à la gestion des exceptions pour avoir une vision plus complète.

Avec ces liens tu devrais pouvoir commencer sur de bonnes bases.
22/03/2015, 14h46
art23

Salut,

Merci pour ces liens, je vais regarder...