Générer des "ticks" avec PDO

Version imprimable

03/11/2008, 11h01
codefalse

Générer des "ticks" avec PDO
Bonjour à vous :)

J'ai un petit soucis, je m'explique.

J'aimerai faire ceci :
Code:

1 2 3 // $oPdo est une instance de PDO $oPdo->prepare ('USE ?;')->execute (array ($_GET['dbname']));
Sauf que PDO va mettre "my_database' entre simple quotes. Et la commande USE accepte uniquement des doubles quotes ("), ou des "ticks" (`). Du coup, la requête plante.

Mais comme vous le voyez, je ne peux pas trop faire confiance à ce qui arrive (vu que ca vient de $_GET), et donc par sécurité, je suis obligé d'échaper la variable pour la protéger des attaques de type SQL Injection.

Mais du coup je ne sais pas comment faire ! :s

Auriez-vous une idée ?

Merci beaucoup de votre aide ! :)
03/11/2008, 19h34
sabotage

Je crois que les requetes préparées ne sont pas prévues pour prendre des noms de table comme argument.
De la meme facon, on ne peut pas faire un SELECT * FROM :table
03/11/2008, 19h53
codefalse

Mais du coup, j'ai quand même fait des recherches un peu partout, j'ai parlé avec les gars de php sur le channel irc.
Il s'est avéré que la meilleure facon serait d'utiliser les expressions régulières.

Je pensais juste vérifier s'il y avait l'existence de caractères non autorisés, c'est à dire /, \ et .
(d'après la doc MySQL)

Mais le type peux faire des sql injections en mettant des choses genre

Code:

mysql';DELETE * FROM mysql.user;

par exemple, non ? c'est ca en fait qui me chagrinne :p
03/11/2008, 20h38
mathieu

Citation:

Envoyé par codefalse

Mais le type peux faire des sql injections en mettant des choses genre

Code:

mysql';DELETE * FROM mysql.user;

par exemple, non ? c'est ca en fait qui me chagrinne :p

oui tu as raison de t'inquiéter de ça

pour être sur d'avoir une base valide tu peux par exemple lister toutes les base de données avec "SHOW DATABASES" et vérifier si la variables est dans la liste :
http://dev.mysql.com/doc/refman/5.0/...databases.html
03/11/2008, 21h22
codefalse

Ca peux faire un peu lourd tu ne crois pas ?

En effet si tu prends en compte le fait qu'il peux y avoir beaucoup de bases de données, ca ferait deux fois la requête au lieu d'une. Bon après elle peux être en cache ....

ralala