Protection d'une requête et sécuriser un DELETE

Bonjour à tous,

je commence à manipuler PDO avec MySQL.
J'ai appris que PDO offrait une protection des paramètres dans une requête.
Mais à quel niveau exactement ? Cette protection est seulement avec les bindParam ou "tout PDO" ? :roll:

Pour le moment, j'ai par exemple:

Code:

---

1 2 3 4 5 6

try { $cnxPDO->exec("DELETE FROM t_membre WHERE login='".$_GET['login']."';"); } catch (PDOException $e) { print "Erreur PDO ! : " . $e->getMessage() . "<br/>"; die(); }

---

Etant donné que le paramètre "login" provient de GET, est-il nécessaire d'utiliser mysql_real_escape_string() et autres fonctions anti code malveillant ?

Merci d'avance ?
;)

avec pdo tu peut utiliser les paramètre, ce qui suffit en matière d'anti injection.

tu parles de quels params ? tu peux être plus précis STP... :?

Au lieu de faire comme tu utilise un PdoStatement (et pas un pdo) , tu fait :

Code:

---

1 2 3

$cnxPDO->prepare("DELETE FROM t_membre WHERE login=?;"); $cnxPDO->bindParam(1,$_GET['login'], PDO::PARAM_STR); $cnxPDO->execute();

---

ok merci Bourgui...

mais je croyais (peut être à tord) que la méthode prepare() été destiné à une utilisation répétitive d'une "même" requête... ??? :? nan ?

perso j'utilise ce genre de requète tout le temp en asp.net et je trouve ça plus propre et en terme de perf, t'y perd quasiement rien je pense.

ok, je vais essayer.

@+ ;)