Forum d'entraide PHPFrance

Bonjour,

Je voulais savoir comment je peux protèger une requête du style :

$add_data=$connexion->prepare("INSERT INTO matable (id,nom,prenom,adresse) VALUES ('','$nom','$prenom','$adresse')");

Merci

Salut,

$Valid = true;
$nom = '????????';
$prenom = '????????';
$adresse = '????????';
// test des données dans les variables.
if(strlen($nom) < 5){
$Valid = false;
}
// etc...

if($Valid){
$add_data=$connexion->prepare("INSERT INTO matable (id,nom,prenom,adresse) VALUES (:id, :nom, :prenom, :adresse)");
$add_data->execute(array(
'id'=>'',
'nom'=>$nom,
'prenom'=>$prenom,
'adresse'=>$adresse
)); 
}

Merci J-oxi de ta réponse.

Je suis allé un peu vite aussi dans ma question, par protection j'entends aussi contre tout ce qui est injection sql.
Ta solution le permet il ?

Bonjour,

regarde pour utiliser la fonction

mysql_real_escape_string()

il semblerait que mysql_real_escape_string ne fonction pas sur PDO je regarde du côté PDO::quote voir si ça convient

Merci

Ok désolé je n'utilise pas cette class mysql sinon voila un petit lien

http://www.siteduzero.com/forum/sujet/p ... -sql-54498

Merci pour le lien

@ghost5922 : l'extension mysql est déprécié il est préférable d'utiliser mysqli et la fonction indiquée ne s'utilise que si une connexion est ouverte (avec mysql_connect).

@slopes : utilise la méthode quote de PDOla requête préparée ne se justifie pas


@+

Bonjour,

@Moogli quand je dis mysql je parle d'une class pour se connecte a mysql pas de la methode, pour le second point merci pour l'infos faut dire que c'est inclus dans ma class mysql

ha une dao perso

nikel tu pourras d'autant plus facilement l'extension utilisée pour te connecté

@+

Tu peux mettre ça en haut de ta page:
session_start();
if (!isset($_SESSION['login'])) {
header ('Location: index.php');
exit();
}

Tu peux mettre ça en haut de ta page:
session_start();
if (!isset($_SESSION['login'])) {
header ('Location: index.php');
exit();
}

cela protège la page pas les injections a la bdd