Forum d'entraide PHPFrance

Bonjour à tous,

Est-ce que quelqu’un pourrait m’expliquer pourquoi cette requête n’est pas correctement préparée ?

Merci !

SELECT * FROM tbl_comment WHERE parent_comment_id = '".$parent_id."'
soit une requête avec 0 paramètre.
$statement->execute(
array(
':parent_comment_id' => $_POST["comment_id"],
':comment' => $comment_content,
':comment_sender_name' => $comment_name
)
);
requête à laquelle on passe 3 paramètres ...

Merci pour ta réponse, alors j’avais tenté plusieurs choses mais je n’avais plus l’affichage de mes commentaires.. dsl je ne suis pas à l’aise du tout avec le php.. ça va sans doute te paraître un peu pourri mais voici ce que j’avais tenté :

$query = "
SELECT * FROM tbl_comment WHERE parent_comment_id = '".$parent_id."'
";
echo $query;
si la requête affichée s'exécute correctement dans phpmyadmin, il ne faut pas aller chercher plus loin.

hum j'ai cette erreur :

Hello !

Ça ce n'est pas une erreur, c'est la liste des requêtes SQL que ton code à généré et que l'instruction echo te permet d'afficher à l'écran. Si tu es dans une boucle, il les affiches toutes. Mais tu peux ainsi voir quel requête SQL va être envoyée à MySQL et vérifier si celle-ci te convient ou est erronée.

Quant au principe des requêtes préparées, il s'agit de définir une structure de requête SQL dans laquelle les variables sont remplacés par des tokens. Lors de l'exécution de la requête, il faut préciser la valeur devant être utilisée pour chacun de ces tokens. 1 token = 1 valeur attendue et donc une seule valeur à spécifier lors de l'exécution

Si ta requête ne contient pas de token parce que tu mets toi même la valeur à utiliser directement dans la structure, alors il ne faut pas spécifier de valeur lors de l'exécution (mais on perds un peu l'intérêt de la requête préparée qui est optimisée pour s'exécuter plusieurs fois avec des valeurs différentes au profit d'une requête simple)

D'accord, bon c'est pas trop de mon niveau je crois.. en bref, que dois-je faire pour éviter les injections SQL ? Si j'ai bien compris, là j'utilise que "parent_comment_id" ? je suis un peu perdu

Est-ce que ça devrait ressembler à ça ?

En fait, une injection SQL c'est le fait de profiter d'une absence de contrôle dans les variables utilisées par ta requête, pour y introduire du code SQL en lieu et place de ce que tu y attends en théorie.

Un exemple tout bête, dans la requête suivante :

$sql = " SELECT * FROM users WHERE identifiant = '$login' AND password = '$password'";

Si en guise de mot de passe je rentre la chaine " ' OR '1' = '1 ", si aucun contrôle n'est effectué, la requête exécutée devient

 SELECT * FROM users WHERE identifiant = '' AND password = '' OR '1' = '1' 

et comme cette dernière condition est vraie, je parviens à m'authentifier (et récupère potentiellement la liste de tous les utilisateurs au passage )

Il faudrait donc protéger les apostrophes, mais pas que... il faudrait idéalement contrôler que les chiffres sont des chiffres, les dates sont des dates, etc. et c'est l'un des avantages de la requête préparée (qui n'a pas du tout cette vocation au départ, mais qui propose ces contrôles lorsque l'on remplace les tokens par les valeurs au moment de son exécution)

// On remplace la ou les variables de la requête par des tokens :
$query = " SELECT * FROM tbl_comment WHERE parent_comment_id = :parentId ";
$statement = $connect->prepare($query);
$statement->execute( 
   array( // un seul token dans la requête = un seul paramètre à spécifier
    ':parentId' => $_POST["comment_id"] 
   )
);

A noter que lorsque tu passes les paramètres directement dans execute, ils sont tous considérés comme des chaines de caractères et que tu n'as pas le contrôle sur le type de chaine que tu aurais en passant chaque paramètre via bindParam ou bindValue. Ça peut cependant être tout à fait suffisant, tout dépend des éléments que tu contrôles, de la requête et de la sécurité que tu veux y apporter

Ca me semble plus clair avec tes explications, par contre avec ta proposition de code, les messages en question ne s'affichent plus. Alors qu'avec ma proposition au dessus de ton commentaire les messages s'affichent mais du coup ce n'est pas juste ?

Je te montre la page de code entière (avec ma proposition de code qui n'est pas juste mais fait correctement fonctionner ma page)

C'est parce que la valeur que tu veux passer dans la requête n'est pas dans la variable $_POST["comment_id"] comme dans le code que j'avais conservé, mais dans ta variable $parent_id qui est passée en paramètre à ta fonction. Il te suffit donc de modifier la valeur envoyée à la requête en spécifiant la bonne variable lors de l'exécution

Je suis dessus depuis tout à l'heure mais je fais mal les choses, ça ne fonctionne pas. Je suis dsl je n'ai pas appris les bases du php..
Est-ce que ça serait trop demandé que tu me montres la partie en question correctement codée ? J'ai peur de saccager le code même si ça vient à fonctionner :/

Ah non mais moi aussi je risque de tout te saccager, alors je préfère te donner les bases du php

La première, c'est d'aérer ton code en sautant des lignes entre les instructions qui ne sont pas liées, et d'utiliser des tabulations afin d'indenter ton code ce qui va le rendre plus lisible et plus facile à maintenir / comprendre. La seconde, c'est de mettre des commentaires pour expliquer ce que tu fais et pourquoi, surtout quand c'est complexe. Ça peut sembler ridicule, mais c'est super important le jour où quelqu'un va lire ton code pour comprendre à quoi il sert (ce quelqu'un pouvant parfaitement être toi dans 6 mois )

<?php
//fetch_comment.php
$connect = new PDO('***');

$output = '';

$query = " SELECT * FROM tbl_comment
	WHERE parent_comment_id = '0'
	ORDER BY comment_id DESC ";
$statement = $connect->prepare($query);
$statement->execute();
$result = $statement->fetchAll();

foreach ($result as $row) {
	$date = new \DateTime($row["date"]);
	$formatedDate = (new IntlDateFormatter( 'fr_FR', IntlDateFormatter::LONG, IntlDateFormatter::SHORT));
	$output .= '
		<div class="separator"</div>
		<div class="box-light">
			<div class="chapeau">@ <b>'.$row["comment_sender_name"].'</b></div>
			<div class="white"><i>'.$formatedDate->format($date).'</i></div>
			<div class="texte-com">'.nl2br($row["comment"]).'</div>
			<div class="repondre"><button type="button" class="button1 reply" id="'.$row["comment_id"].'">Répondre</button></div>
		</div>
	';
	$output .= get_reply_comment($connect, $row["comment_id"]);
}
echo $output;

function get_reply_comment($connect, $parent_id = 0, $marginleft = 0)
{
	$output = '';
	$query = " SELECT * FROM tbl_comment WHERE parent_comment_id = '".$parent_id."' ";
	$statement = $connect->prepare($query);
	$statement->execute(
		array(
			':parent_comment_id' => $_POST["comment_id"]
		)
	);
	$result = $statement->fetchAll();
	if($parent_id == 0)
	{
		$marginleft = 0;
	}
	else
	{
		$marginleft = $marginleft + 50;
	}
	if($result)
	{
		foreach ($result as $row) {
			$date = new \DateTime($row["date"]);
			$formatedDate = (new IntlDateFormatter( 'fr_FR', IntlDateFormatter::LONG, IntlDateFormatter::SHORT));
			$output .= '
				<div class="separator"</div>
				<div class="box-light" style="margin-left:'.$marginleft.'px">
					<div class="chapeau">@ <b>'.$row["comment_sender_name"].'</b></div>
					<div class="white"><i>'.$formatedDate->format($date).'</i></div>
					<div class="texte-com">'.nl2br($row["comment"]).'</div>
					<div class="reponse"><button type="button" class="button1 reply" id="'.$row["comment_id"].'">Répondre</button></div>
				</div>
			';
			$output .= get_reply_comment($connect, $row["comment_id"], $marginleft);
		}
	}
	return $output;
}
?>

Maintenant qu'on y voir plus clair, on constate que dans ton code tu fais appel à la fonction get_reply_comment() en lui passant 2 paramètres $connect et $row["comment_id"]. On voit aussi la déclaration de la fonction get_reply_comment(), c'est elle qui va nous intéresser.

Cette fonction accepte jusqu'à 3 paramètres :
- $connect (qui permet d'exécuter des requêtes sur la base de données - obligatoire),
- $parent_id (l'id de l'élément pour lequel tu veux récupérer les commentaires - facultatif, s'il n'est pas spécifié, il prend la valeur 0),
- $marginleft (qui permet d'afficher une marge pour indenter les réponses - facultatif, s'il n'est pas spécifié, il prend la valeur 0).

Lors du premier appel à la fonction ( get_reply_comment($connect, $row["comment_id"]); ), tu vas transmettre la variable de connexion à la base de données, et tu vas également transmettre la valeur de $row["comment_id"] en second paramètre. Celle-ci va ainsi être stockée dans la variable $parent_id et pourra ainsi être utilisée dans ta fonction.

Regardons maintenant de plus près ce que fait la fonction. Elle commence par une requête SQL qui utilise la valeur de $parent_id dans sa structure. Ça fonctionne, mais il est préférable de la sécuriser contre les injections SQL en sortant cette variable et en la remplaçant par un token :

$query = " SELECT * FROM tbl_comment WHERE parent_comment_id = :parentId ";

Pour autant, on veut quand même que la valeur contenue dans $parent_id soit utilisée au moment de l'exécution de la requête. Pour cela tu peux soit utiliser les fonctions bindParam ou bindValue, mais tu peux aussi continuer comme tu les fais déjà en passant cette valeur dans le execute().

Cette méthode attend en argument un tableau array(), qui va contenir les valeurs que tu veux spécifier pour chacun des tokens que tu as placé dans la structure de ta requête. Ici nous n'avons qu'un seul token dans la requête (:parentId), donc une seule entrée dans le tableau, sous la forme "clé => valeur". La clé est le nom du token (:parentId) et la valeur, c'est ta variable $parentId

Merci pour toutes tes explications. Du coup je te montre ce que j'ai fait en suivant (j'espère correctement) tes explications. Mon code fonctionne bien comme ça. Pourrais tu me dire si ça te semble juste stp ?