Discussion :

[dimalta5]

Bonjour,

Je cherche à établir la liste des SGBD qui acceptent les guillemets simples autour des valeurs numériques?
(Cela me semble très utile pour sécuriser les requêtes de ne pas devoir faire de distinction avant d'échapper les valeurs)

Exemple: SELECT * FROM produit WHERE proid='1';

Voici ceux que j'ai testé:

MySQL /OK
PostgreSQL 8.3 /OK
SQLite /OK

(Il y a que pour MySQL que je suis sûr à 100% pour l'instant)

En connaissez-vous d'autres?

[sabotage]

Cela me semble très utile pour sécuriser les requêtes de ne pas devoir faire de distinction avant d'échapper les valeurs

avec les requetes préparées de PDO tu n'as pas besoin de t'occuper des guillemets.
Il faut dans la mesure de l'evolution de son hebergeur utiliser PDO puisque c'est l'interface qui sera conservée avec PHP6.

Sinon je trouve justement que traiter de maniere indifferenciée les chaines et les numeriques c'est une lacune de securité.

[dimalta5]

Merci Sabotage pour ta réponse,

Je suis conscient du fait qu'il est mieux de programmer en tenant bien compte du type mais quand on construit une librairie que d'autres développeurs vont utiliser on ne peut pas être sûr qu'ils soient tous aussi consciencieux. Donc d'une certaine façon un entier échappé et placé entre guillemets ne permettra pas de faire d'injection SQL alors qu'à l'inverse une chaîne qu'on oublie d'échapper pose problème.

D'autre part quand on doit rendre une application portable d'un SGBD vers d'autre, en fonction des délais accordés, on ne peut pas forcement tout revoir. Tout ce qui est déjà portable est donc bienvenu. On ne peut pas forcement non plus tout modifier pour passer systématiquement par prepare.

Obtenir une liste exacte des SGBD où cela fonctionne peut donc être intéressant même si on n'aime pas cette façon de faire.