S'enregistrer | Rechercher | FAQ | Liste des Membres | Groupes d'utilisateurs | Connexion

  Nom d'utilisateur:    Mot de passe:       

  

Poster un nouveau sujet   Répondre au sujet Page 1 sur 1
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
MessagePosté le: Sam Avr 10, 2010 8:58 am    Sujet du message: Sécurité PDO Répondre en citant

ludvig
Projets


 
Inscrit le: 02 Sep 2007
Messages: 49



Bonjour,

Dans le cadre du développement d'un site, j'ai décidé d'utiliser PDO à la place des fonctions mysql classiques afin d'avoir une approche objet tout en sécurisant mes requêtes en passant par des requêtes préparées.
Je voulais savoir si juste le fait d'utiliser ce type de requête protège des injection où il y a d'autres contrôles à effectuer ?

Merci

Ludvig.
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Sam Avr 10, 2010 9:14 pm    Sujet du message: Répondre en citant

CXXWAVES
Projets


 
Inscrit le: 07 Mar 2010
Messages: 7



En fait, déja PDO est une classe pour l'accès uniforme à toutes les bases de données.
Les requêtes préparées ne protègent pas non plus des injections SQL.
Pour t'en protéger, il faut interdir les caractères spéciaus (never trust imput==ne jamais croire ce que rentre l'utilisateur).
Voir le profil de l'utilisateur Envoyer un message privés
MessagePosté le: Dim Avr 11, 2010 10:42 am    Sujet du message: Répondre en citant

ludvig
Projets


 
Inscrit le: 02 Sep 2007
Messages: 49



Merci de ta réponse.

Pour ce qui est des injections SQL, je me suis bêtement basé sur la doc officiel http://fr.php.net/manual/fr/pdo.prepare.php qui dit clairement :
Citation:
Appeler PDO::prepare() et PDOStatement::execute() pour les requêtes qui doivent être exécutées plusieurs fois avec différentes valeurs de paramètres optimisent les performances de votre application en autorisant le pilote à négocier coté client et/ou serveur avec le cache des requêtes et les metainformations, et aident à prévenir les attaques par injection SQL en éliminant le besoin de protéger les paramètres manuellement.

et effectivement, il me protège tout ce qui est simple et doubles quotes, backslash et autres.
N'ayant que quelques connaissances en injections SQL, je voulais savoir si cela suffisait ou si il y avait d'autres traitements à effectuer.

Merci

Ludvig.
Voir le profil de l'utilisateur Envoyer un message privés
Poster un nouveau sujet   Répondre au sujet Page 1 sur 1

  


 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum



110273 Attacks blocked