Utiliser les attributs (attr) pour envoyer le nom d'une BD > Risque de sécurité

Version imprimable

Bonjour,
Pour faciliter le dev. j'ai pensé à mettre dans les attributs d'un boutton le nom de la BD à updater (en ajax).
Code:

1 2 3 <button type="button" class="suppr_region" value="<?php echo $value['id_region'];?>" db_name="db_regions"> <i class="fa fa-fw fa-trash-alt"></i> </button>
Et en Jquery
Code:

1 2 3 4 5 6 7 8 9 $('.suppr_region').click(function (e) { suppr_region_id = $(this).val(); db_name=$(this).attr('db_name'); // On récupère le nom de la BD console.log(db_name); console.log('suppr_region_id '+suppr_region_id); $.get('update.php',{db_name: db_name, suppr_region_id: suppr_region_id}, function(data){ console.log(data); }); });
Ca serait plus facile pour updater les BD.
On pourrait aussi envoyer le nom de la colonne, ca permettrait de n'avoir qu'un fichier update.php.

Par contre ca craint car on donne le nom de cette BD à qui voudrait s'en servir pour la 'niquer', non ? :weird:

22/11/2019, 14h44
SpaceFrog

tu peux avoir un db_id ...

Code:

db_id="0"

et coté serveur un array

Code:

DBids = [ "db_regions", ... ]

Comme ça tu ne diffuse pas tes noms de tables coté client ...
22/11/2019, 14h50
feelwatt

A ouais, bonne idée.

On pourrait y mettre aussi les noms de colonnes.

Code:

1
2
3
4
5
DBs = [ [ "db_regions", ["col1","col2" ... ]] ,  [ "db_dept", ["col1","col2" ... ]] ,  [ "db_pays", ["col1","col2" ... ]]]
 
DBs[0][0] = db_name
 
dBs[0][1] = array colonnes

Alors, depuis... je me suis régalé
et je m'y suis pris comme ça

Création de l'array des bd

Code:

1
2
3
4
5
6
<?php 
$_SESSION['arr_db'] = array();
$_SESSION['arr_db']['region'] = array('db_name' => 'region', 'col_id' => 'id_region','col_name' => 'libelle_region');
$_SESSION['arr_db']['format'] = array('db_name' => 'format', 'col_id' => 'id_format','col_name' => 'libelle_format');
print_r($_SESSION['arr_db']['format']);
?>

Puis l'input et le boutton pour ajouter:

Code:

1
2
3
4
<input type="text" placeholder="Ajouter une r&eacute;gion">
<button type="button" class="add" what="region"> <!-- what = index de l'array $_SESSION['arr_db'] -->
   <i class="fa fa-fw fa-plus"></i>
</button>

Un autre:

Code:

1
2
3
4
<input type="text" placeholder="Ajouter une r&eacute;gion">
<button type="button" class="add" what="format"> <!-- what = index de l'array $_SESSION['arr_db'] -->
   <i class="fa fa-fw fa-plus"></i>
</button>

Puis en jquery

Code:

1
2
3
4
5
6
7
8
9
$('.add').click(function (e) {
  what=$(this).attr('what'); // Le nom de l'index 
  valeur=$(this).prev().val(); // La valeur de l'input précédent
  console.log(what+' '+valeur);
// Envoyer 
  $.get('update.php',{what: what,valeur: valeur}, function(data){
    console.log(data);
  });
});

Et dans update.php

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
<?php session_start();
if (!empty($_GET)) {
        include('q_try.php');
        $bd_name = $_SESSION['arr_db'][strip_tags($_GET['what'])]['db_name']; // On récupère le nom de la BD
        $col_name = $_SESSION['arr_db'][strip_tags($_GET['what'])]['col_name']; // On récupère le nom de la colonne
        $valeur = strip_tags($_GET['valeur']);
echo 'add > '.$valeur.' '.$col_name.' '.$bd_name; 
try { 
$sql = "INSERT INTO $bd_name SET $col_name=?";
$stmt = $bdd_user->prepare($sql);
$stmt->execute(array($valeur));
} catch(PDOException $e) {echo 'Erreur: '.$sql . "<br>" . $e->getMessage();$erreur="$_POST deconnect<br>".$sql;} 
?>

Dans ce cas on ne voit dans le html que le mot 'region' ou 'format',
c'est plus facile pour le dev. mais ca donne un indice
(dangereux ?)

22/11/2019, 17h11
Invité

Bonjour,

je ne voudrais pas "casser l'ambiance", mais... les data-* sont faits pour ça !

Code:

<button type="button" class="add" data-what="format">...

Code:

var what = $(this).data('what'); // Le nom de l'index

Par contre, je te confirme : Risque de sécurité, car c'est très facile à modifier (ne serait-ce que via la console "F12").
22/11/2019, 17h16
feelwatt

:aie: Bon d'accord

Bon, je me suis bien 'éclaté' 8-)
Mais maintenant je galère pour rafraichir la div avec les nouvelles valeurs.
Je recharge bien mes sessions:

Code:

1
2
3
4
5
6
7
8
9
10
// region
  unset($_SESSION['array_regions']);
  try { $sql = "SELECT * FROM $bd_name ORDER BY libelle_region ASC";
      $stmt = $bdd_user->prepare($sql);$stmt->execute(array());
      while ($results=$stmt->fetch(PDO::FETCH_ASSOC)) {
      	// echo $results['libelle_region'].' / ';
         $_SESSION['array_regions'][] = array('id_region' => $results['id_region'], 'libelle_region' => $results['libelle_region'],'id_pays' => $results['id_pays']);
      }
    } catch(PDOException $e) {echo 'Erreur: '.$sql . "<br>" . $e->getMessage();$erreur="$_POST deconnect<br>".$sql;} 
    // print_r($_SESSION['array_regions']);

Mais je n'arrive pas à recharger la div de la page de base

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
  <div class="row" id="div_region">
    <div class="d-none d-md-block col-sm-1 "> 
    </div>
    <div class="col-xs-12 col-md-3 "> 
      <?php 
      foreach ($_SESSION['array_regions'] as $key => $value) { ?>
        <input type="text" name="<?php echo $key;?>" value="<?php echo $value['libelle_region'];?>" class="form-control" style="width:70%">
 
        <button type="button" class="form-control update" value="<?php echo $value['id_region'];?>" data-what="region"><i class="fa fa-fw fa-save"></i></button>
        <button type="button" class="form-control suppr" value="<?php echo $value['id_region'];?>" data-what="region">
          <i class="fa fa-fw fa-trash-alt"></i>
        </button>
 
      <?php } ?>
    </div>
  </div>

Avec

Code:

1
2
3
4
function refresh() {
  $('#div_region').load('../artcl.php');
  return true;
};

Que j'appel après le $.get

Code:

1
2
3
4
$.get('update_arts.php',{id: id, what: what, type: 'add',valeur: valeur}, function(data){
    console.log(data);
  });
  refresh(div_refresh);

D'après la console il n'a pas eu le temps de faire la requete sql
qu'il lance déjà la fonction refresh().
:calim2:

22/11/2019, 18h56
feelwatt
J'ai retrouvé ca dans les fonds de mes vieux folders
Code:

1 2 3 4 5 <script type="text/javascript"> function Rafraichir(){ $("#div_region").load("index.php?p=artcl.php #div_region"); } </script>
En fait l'adresse était index.php?p=artcl.php

Mais ca ne marche qu'une seule fois...