Remplacer mysql_real_escape_string par une requête préparée

Bonjour à tous,

Je suis en train de commencer à utiliser PDO pour la création de mes sites.

Avant d'utiliser PDO je faisait un contrôle de login et password de la manière suivante.

Dans la page à laquelle est envoyé la paire à tester :

Code:

---

1 2 3 4 5

if(isset($_POST['login'])){ if($_POST['login']!="")$login=htmlentities($_POST['login'],ENT_QUOTES);else $login="xx"; if($_POST['psswd']!="")$psswd=mysql_real_escape_string($_POST['psswd']);else $psswd="xx"; $utils->secuVAD($login,$psswd); }

---

Et dans la classe qui faisait le contrôle :

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14

public function secuVAD($login,$psswd){ session_start(); $query_rsPass ="SELECT count(*) as nbrs FROM perso WHERE login='".$login."' AND psswd='".$psswd."'";   $rsPass=@mysql_query($query_rsPass, $this->BDD); $row_rsPass = mysql_fetch_assoc($rsPass); if($row_rsPass['nbrs']==1){ session_regenerate_id(); $_SESSION['nomUtil']=$login; @mysql_free_result($rsPass); } else { echo '<script>window.location.replace("index.php");</script>'; }; }

---

J'ai donc vu que je devais remplacer mysql_real_escape_string par une requête préparée pour utiliser PDO, mais j'ai besoin d'un peu d'aide pour construire cette requête car je suis un peu perdu :oops:

Merci d'avance pour votre aide

Et hop :
http://php.developpez.com/faq/?page=pdo#pdo-query

Bonjour à tous,

@sabotage : Merci pour le lien :D

J'ai donc remplacé ma fonction par celle-ci :

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

public function secuVAD($login,$psswd){ session_start(); $query_rsPass ="SELECT COUNT(*) as nbrs FROM perso WHERE login=:login AND psswd=:psswd";   $prep=$this->BDD->prepare($query_rsPass); $prep->execute(array(':login'=>$login, ':psswd'=>$psswd)); $row_rsPass = $prep->fetch(PDO::FETCH_ASSOC);   if($row_rsPass['nbrs']==1){ session_regenerate_id(); $_SESSION['nomUtil']=$login; } else { echo '<script>window.location.replace("index.php");</script>'; }; $prep=NULL; }

---

Et ça fonctionne sans problème.

Quelqu'un peut-il me dire si cette ligne de code est toujours utile dans la page qui reçoit les données à tester :

Code:

---

if($_POST['login']!="")$login=htmlentities($_POST['login'],ENT_QUOTES);else $login="xx";

---

Ou si elle peut être remplacée par :

Code:

---

if($_POST['login']!="")$login=$_POST['login'];else $login="xx";

---

Merci d'avance pour vos réponses.

En fait ça n'a jamais été utile ; avec l'extension mysql, il faut protéger les chaines avec mysql_real_escape_string().

Avec PDO, on ne protège plus les chaines.

Merci de ta réponse,

Donc maintenant je suis tranquille :D

Juste pour être précis, on ne protège plus tant qu'on passe les variables en paramètre d'une requête préparée.

Si tu concatènes tes variables comme on faisait avant, le problème de sécurité est toujours la.

Oui j'ai bien compris, si je veux protéger mes variables je les passe dans une requête préparée.

Merci encore