Validation sécurisation requête préparée

Version imprimable

Bonjour,

j'aimerai vous soumettre mon script afin de faire valider la construction de ma requête préparée du point de vue de la sécurisation (contre tout type d'attaque).
Elle fonctionne correctement mais je ne sais pas si je l'ai bien construire.

je reçois une donnée depuis un formulaire qui propose une autocomplétion pour la recherche de pays via ajax.
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 <?php require_once "ConnectPDO.php"; $req = $_GET['q']; $sql = ("SELECT * FROM listpays WHERE nom_pays LIKE :req "); $stmt = $bdd->prepare($sql); $stmt->bindValue(':req', ('%'.$req.'%'), PDO::PARAM_STR); $stmt->execute(); $array = array(); while($row = $stmt->fetch(PDO::FETCH_ASSOC)) { $array[] = $row['nom_pays']; } echo json_encode($array);
Merci pour vos retours.

A priori, ta requête a l'air bien écrite :ccool: sous réserve d'une connexion bien établie, de préférence en UTF-8 et avec l'émulation désactivée.

Petite optimisation possible : si tu ne t'intéresse qu'à une seule colonne et que tu veux la récupérer dans un tableau, tu peux utiliser en utilisant fetchAll avec la configuration FETCH_COLUMN :
Code:

1 2 3 4 5 $sql = ("SELECT nom_pays FROM listpays WHERE nom_pays LIKE :req "); $stmt = $bdd->prepare($sql); $stmt->bindValue(':req', ('%'.$req.'%'), PDO::PARAM_STR); $stmt->execute(); $array = $stmt->fetchAll(PDO::FETCH_COLUMN, 0);
Petit rappel : le but des requêtes préparées n'est pas de sécuriser les requêtes, mais d'optimiser leur exécution. La sécurisation, via l'échappement des données, est un chouette effet de bord (mais ça marche quand même dans 99% des cas ;))

:merci: pour ton retour...j'ai en effet une seule colonne, je vais donc partir sur ton conseil

En revanche :

" sous réserve d'une connexion bien établie, de préférence en UTF-8 et avec l'émulation désactivée. " => du vrai charabia à ce jour pour moi voilà ce que j'ai fait simplement dans un fichier : "ConnectPDO.php"
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 <?php $dsn = 'mysql:host=127.0.0.1;dbname=test'; $user = 'XXXXXXX'; $password = 'xxxxxxx'; try { $bdd = new PDO($dsn, $user, $password); } catch (PDOException $e) { echo 'Connexion échouée : ' . $e->getMessage(). "<br/>"; die(); }

Citation:

Envoyé par Celira

sous réserve d'une connexion bien établie, de préférence en UTF-8 et avec l'émulation désactivée.

De préférence en UTF-8 : tu précises l'encodage utilisé par la connexion, histoire d'éviter les problèmes de caractères spéciaux, le standard étant UTF-8.
Avec l'émulation désactivée : L'émulation des requêtes préparées fait que le pilote "fait semblant" de faire une requête préparée. En désactivant l'émulation, PDO fait appel au mécanisme natif de la base, ce qui est normalement meilleur (enfin d'après ce que j'ai compris, je dois avouer que ce point est un chouia flou pour moi)

Au passage, tu n'as pas de gestion d'erreurs activée (par défaut PDO ne dit rien quand il rencontre une erreur et se contente de te planter plus loin lorsque tu essayes d'exploiter les résultats :roll:)

Ta connexion devient donc :
Code:

1 2 3 4 5 6 7 $dsn = 'mysql:host=127.0.0.1;dbname=test;charset=utf8'; $user = 'XXXXXXX'; $password = 'xxxxxxx'; $pdo = new PDO($dsn, $user, $password, [ PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION, PDO::ATTR_EMULATE_PREPARES => false ]);

17/07/2018, 18h26
Invité

Bonjour,

Code:

$stmt->bindValue(':req', ('%'.$req.'%'), PDO::PARAM_STR);

Les parenthèses sont inutiles :

Code:

$stmt->bindValue(':req', '%'.$req.'%', PDO::PARAM_STR);

Perso, j'utilise aussi bindValue, ce qui permet aussi de définir le type requis (PDO::PARAM_STR, PDO::PARAM_INT,...)

@Celira

Une discussion concernant ATTR_EMULATE_PREPARES

Il semble qu'il soit à true par défaut.
Si ça constituait une "faille" de sécurité, il serait à false par défaut, non ? (je me pose aussi pas question...)
18/07/2018, 15h01
bricoreur

merci pour vos retours,

j'ai lu la discussion Une discussion concernant ATTR_EMULATE_PREPARES mais je n'ai pas tout compris....je garde néanmoins vos propositions de modifications.
18/07/2018, 15h32
Celira

Citation:

Envoyé par jreaux62

Code:

$stmt->bindValue(':req', '%'.$req.'%', PDO::PARAM_STR);

Perso, j'utilise aussi bindValue, ce qui permet aussi de définir le type requis (PDO::PARAM_STR, PDO::PARAM_INT,...)

Perso je préfère bindParam, parce que ça permet de modifier la valeur de la donnée après avoir fait le bind : très pratique quand on appelle une requête d'insertion en boucle par exemple. Cependant : ça a l'inconvénient de risquer de ne pas avoir au moment de l'exécution la valeur qu'on pensait (l'inconvénient de l'avantage :roll:)