[quote]de zeus le 24 Mar 2011, 08:55

Modération :
Le multipostage est interdit sur le forum.

Des réponses peuvent être apportées à cette adresse :
php-debutant/pdo-securite-t257924.html[/quote]

l'heure du post est identique sur les deux messages, j'ai peux être une maladie nerveuse qui provoque des cliques supersonic et induit des double post :D , désolé

++

ok

merci

$req = $bdd->prepare("SELECT * FROM users WHERE login=$login");
$req->execute();
//Dans ce cas précis la sécurité est inexistante !

$req = $bdd->prepare("SELECT * FROM users WHERE login=:login");
$req->execute(array(
'login'=>$login));
//Dans ce cas, la requête est sécurisé 

Salut,
pourtant c'est le cas, pdo est sécurisé pour les requêtes, mais cela dépend tout de même de l'utilisation de pdo.
Une requête préparé n'est pas forcement sécurisé.
[php]
$req = $bdd->prepare("SELECT * FROM users WHERE login=$login");
$req->execute();
//Dans ce cas précis la sécurité est inexistante !

$req = $bdd->prepare("SELECT * FROM users WHERE login=:login");
$req->execute(array(
'login'=>$login));
//Dans ce cas, la requête est sécurisé
[/php]

On peut aussi utiliser [b]bindParam[/b] ou [b]bindValue[/b] à la place de [b]execute(array(...))[/b]
[url]http://php.net/manual/fr/book.pdo.php[/url]

hello

Il est marqué qu'avec PDO la sécurité est intégré !

Donc contrairement à une requête classique (non préparé) ou il faut checker avec mysql_real_escape_string ... supprimer les quotes ... bref filter; dans pdo on peut faire des truc du genre execute(array(':mavar',$_GET['mavar'])); ???

ca me parait vraiment bizarre ??

merci