bindé une valeur avec une requête IN()

Version imprimable

06/12/2017, 21h23
keokaz

bindé une valeur avec une requête IN()
Bonsoir voici une requête préparer:
Code:

1 2 ->prepare("SELECT * FROM produit WHERE idProduit IN ($this->id_produit_modifier)");
peut t'on faire une injection sql sur cette requête ?
comment peut t'on binder id_produit_modifier avec pdo ?

merci de vos réponses :)
06/12/2017, 21h41
mathieu

en faisant une boucle qui parcourt les valeurs, vous pouvez construire une requête qui donnera "... WHERE idProduit IN (?, ?, ?, ?)"
et ensuite vous passez les valeurs à "execute"
06/12/2017, 21h49
ABCIWEB

Oui ta requête était sensible aux injections car il ne suffit pas d'utiliser la fonction prepare, encore faut-il utiliser des marqueurs comme l'a dit mathieu. La doc est ici

merci de la réponse :),
tu veux dire comme l'exemple de la document php ?

Code:

1
2
3
4
5
6
7
8
9
10
 
 
<?php
/* Exécute une commande préparée en utilisant un tableau de valeurs pour les clauses IN */
$params = array(1, 21, 63, 171);
/* Crée une chaîne pour les marqueurs */
$place_holders = implode(',', array_fill(0, count($params), '?'));
$sth = $dbh->prepare("SELECT id, name FROM contacts WHERE id IN ($place_holders)");
$sth->execute($params);
?>

avec cette requête il n'y a pas de risque d'injection SQL? même si l'on ne vérifie pas le bon type number qui est dans l'array ?

sinon j'ai essayé ceci et je n'ai pas pas de donnée affiché au niveau de $r->nom et $r->prix

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
 
        $sth =Bdd::getIntance()->prepare("SELECT * FROM produit WHERE idProduit:id"); // IN ($this->id_produit_modifier)");
        $tb_IN = explode(',',$this->id_produit_modifier );
        var_dump($tb_IN);
        foreach($tb_IN as $id)
        {
            echo $id;
            $sth->bindParam(':id', $id);
            $sth->execute();
        }
 
        echo '<a href="index.php">revenir</a>';
        echo "<table>";
        echo "<tr><th>numéro</th><th>nom</th><th>prix</th><th>afficher/cacher</th></tr>";
 
        while($r = $sth->fetch(PDO::FETCH_OBJ)) {
        echo "</tr>
            <td>$r->nom</td>
            <td>$r->prix</td>
            <td>show</td>
            </tr> ";
        }
        echo "</table>";

06/12/2017, 23h08
sabotage

Déjà il manque le = dans la requête, c'est une bonne raison pour ne rien recevoir.
Mais également si tu fais des SELECT en boucle, tu ne recolteras pas la totalité des resultats dans ton fetch mais bien uniquement ceux de la dernière requête.

Suivre l'exemple de la doc plutôt que d'inventer est bien sûr une saine chose à faire.

Citation:

Envoyé par keokaz

avec cette requête il n'y a pas de risque d'injection SQL? même si l'on ne vérifie pas le bon type number qui est dans l'array ?

Je ne comprends ce que tu veux dire par "vérifier le bon type number dans l'array".

En mixant le code de l'exemple et le tien, on peut écrire ça :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
// tableau des valeurs à passer dans le IN
$tb_IN = explode(',',$this->id_produit_modifier );
var_dump($tb_IN);
// Crée une chaîne pour les marqueurs 
$place_holders = implode(',', array_fill(0, count($tb_IN), '?'));
 
$sth =Bdd::getIntance()->prepare("SELECT * FROM produit WHERE idProduit IN ($place_holders)"); // IN ($this->id_produit_modifier)");
$sth->execute($tb_IN);
 
echo '<a href="index.php">revenir</a>';
echo "<table>";
echo "<tr><th>numéro</th><th>nom</th><th>prix</th><th>afficher/cacher</th></tr>";
 
while($r = $sth->fetch(PDO::FETCH_OBJ)) {
echo "</tr>
    <td>$r->nom</td>
    <td>$r->prix</td>
    <td>show</td>
    </tr> ";
}
echo "</table>";

08/12/2017, 01h18
keokaz
merci de ta réponse
Code:

1 2 Je ne comprends ce que tu veux dire par "vérifier le bon type number dans l'array".
en fait je voulais dire par exemple si dans IN on met des lettre à la place des chiffres, il refusera d'exécuter la requête, puisque qu'on s'attendra
d'avoir uniquement d'avoir un INT plutôt qu'une chaîne de caractère, mais c'est peut être exagérer comme validation puisque même si la requête passe,
dans on champs 'idProduit' je n'ai mis que des nombres, au pire il ne trouvera rien.
Code:

1 2 IN(1,2,'2','5','a');
08/12/2017, 11h27
Celira

La validation des données et la construction des requêtes sont deux choses différentes.
Si tu veux faire une validation, il faut la faire avant d'essayer de les utiliser. Par exemple, si tes données viennent d'un formulaire, tu fais un contrôle des données à la réception du formulaire, et ensuite seulement tu fais tes requêtes avec.