Discussion :

[rikemSen]

Bonjour,

Je bosse depuis quelques temps déjà avec PDO pour préparer mes requêtes etc et pour la portabilité du code mais une question me tracasse.

J'avais lu quelque part que grace à PDO pas besoin de se préocupper de la sécurité car prepare() le faisait pour nous.

J'aimerais confirmation que ceci ne craint rien..:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
<?php
$req = $db->prepare('INSERT INTO table VALUES(?)');
$req->execute(array($_GET['valeur']));
?>

[sabotage]

Ceci protège bien d'une injection.
Cela n'empêcherait pas quelqu'un d'insérer n'importe quelle valeur dans la ta table.

[rikemSen]

C'est bien c'que j'me disais. Un p'tit coup d'htmlentities ne fera pas de mal.

Merci sabotage.

[grunk]

C'est bien c'que j'me disais. Un p'tit coup d'htmlentities ne fera pas de mal.

Merci sabotage.

htmlentites se fait de préférence à l'affichage et non à l'enregistrement. Ce que veux dire Sabotage c'est que être protéger des injection sql ne dispense pas de vérifer la validité des données (ne pas recevoir une chaine à la place d'un nombre par exemple)

[rikemSen]

Ah, mais ça je le fais automatiquement, merci ^^

Pour ce qui est de htmlentities, je note le conseil. Je le faisais à l'insertion pour "être tranquille après" mais effectivement à l'affichage ça me paraît plus juste maintenant que tu le précises. Ça prends moins d'place en bdd ^^