Sécurité PDO

Moderator: Mod

Sécurité PDO

Postby ludvig » Sat Apr 10, 2010 8:58 am

Bonjour,

Dans le cadre du développement d'un site, j'ai décidé d'utiliser PDO à la place des fonctions mysql classiques afin d'avoir une approche objet tout en sécurisant mes requêtes en passant par des requêtes préparées.
Je voulais savoir si juste le fait d'utiliser ce type de requête protège des injection où il y a d'autres contrôles à effectuer ?

Merci

Ludvig.
ludvig
Projets
 
Posts: 49
Joined: Sun Sep 02, 2007 6:34 pm

Postby CXXWAVES » Sat Apr 10, 2010 9:14 pm

En fait, déja PDO est une classe pour l'accès uniforme à toutes les bases de données.
Les requêtes préparées ne protègent pas non plus des injections SQL.
Pour t'en protéger, il faut interdir les caractères spéciaus (never trust imput==ne jamais croire ce que rentre l'utilisateur).
CXXWAVES
Projets
 
Posts: 7
Joined: Sun Mar 07, 2010 5:33 pm

Postby ludvig » Sun Apr 11, 2010 10:42 am

Merci de ta réponse.

Pour ce qui est des injections SQL, je me suis bêtement basé sur la doc officiel [url]http://fr.php.net/manual/fr/pdo.prepare.php[/url] qui dit clairement :
[quote:f08d342564]Appeler PDO::prepare() et PDOStatement::execute() pour les requêtes qui doivent être exécutées plusieurs fois avec différentes valeurs de paramètres optimisent les performances de votre application en autorisant le pilote à négocier coté client et/ou serveur avec le cache des requêtes et les metainformations, [b:f08d342564]et aident à prévenir les attaques par injection SQL en éliminant le besoin de protéger les paramètres manuellement[/b:f08d342564].[/quote:f08d342564]
et effectivement, il me protège tout ce qui est simple et doubles quotes, backslash et autres.
N'ayant que quelques connaissances en injections SQL, je voulais savoir si cela suffisait ou si il y avait d'autres traitements à effectuer.

Merci

Ludvig.
ludvig
Projets
 
Posts: 49
Joined: Sun Sep 02, 2007 6:34 pm


Return to Php

Who is online

Users browsing this forum: No registered users and 2 guests

cron