06-19-2007, 03:47 PM
Toutes les demandes d'aide pour ce tutoriel doivent être faite à la suite de ce message.
Merci de ne pas aller créer un nouveau sujet dans la section demande d'aide : le message sera mis à la corbeille.
Pages : 1 2
06-19-2007, 03:47 PM
06-19-2007, 04:07 PM
Je voulais juste dire que c'était une très bonne mise au point necessaire !!
Je me rassure en voyant que je fais déja une bonne partie des choses indiquées dans ce tuto, et que j'ai encore des choses à apprendre et tant mieux
Le coup des mots réservés, je m'en souviendrait : j'avais mis le mot "asc" sans savoir qu'il été réservé, résultat, j'ai passé 4 jours à chercher une solution
Mysterarts
Je me rassure en voyant que je fais déja une bonne partie des choses indiquées dans ce tuto, et que j'ai encore des choses à apprendre et tant mieux
Le coup des mots réservés, je m'en souviendrait : j'avais mis le mot "asc" sans savoir qu'il été réservé, résultat, j'ai passé 4 jours à chercher une solution
Mysterarts
06-19-2007, 08:47 PM
Code PHP :
// exécution de la requête
$resultat = mysql_query($query);
// test de la valeur de retour
if( $resultat === FALSE )
{
echo "erreur dans la requete : " . $query;
exit;
}
Ce passage aurait pu être plus simple à mes yeux
Code PHP :
// exécution de la requête
// test de la valeur de retour
if( !($resultat= mysql_query($query)) ) {
echo "erreur dans la requete : " . $query;
exit;
}
06-19-2007, 09:12 PM
Même s'il est vrai qu'en pratique on fera plutôt comme ça, dans le cadre d'un tutorial, la syntaxe de pascaltje a l'avantage d'être plus «décortiquée» et donc plus pédagogique 
06-19-2007, 10:22 PM
oui, j'essaie de faire concret 
j'ai volontairement éludé certains points, la doc officielle en lien permet d'approfondir.
si on m'envoie ou si je trouve de nouveaux éléments, je compléterai.
A+
Pascal
j'ai volontairement éludé certains points, la doc officielle en lien permet d'approfondir.
si on m'envoie ou si je trouve de nouveaux éléments, je compléterai.
A+
Pascal
06-28-2007, 10:56 AM
06-28-2007, 11:35 AM
Il faudra par contre je pense mettre un gros paragraphe sur la sécurité, en expliquant par exemple combien ce type de requête peut-être une faille béante :
avec un joli
dans le formulaire, ça fait mal.
Eventuellement on pourrait ajouter un paragraphe sur les "placeholders" dans les couches d'abstraction, qui permettent de simplifier tout ça.
Code PHP :
$query = sprintf('SELECT nom, xp FROM joueur WHERE nom = "%s"', $_POST['nom'] );
Code :
"; DELETE FROM joueur #Eventuellement on pourrait ajouter un paragraphe sur les "placeholders" dans les couches d'abstraction, qui permettent de simplifier tout ça.
naholyr sur phpfrance a écrit :[...]
Pour se faire un constructeur de requêtes maison, c'est assez simple avec sprintf et %s (l'utilisation du point d'interogation pose quelques soucis qu'on aura ici la flemme de résoudre, avec sprintf c'est facile et on a l'habitude, pour afficher un '%' il faut mettre '%%', classique) :C'est un bon exercice de faire ça une fois dans sa vie, ne serait-ce que pour l'apprivoisement de call_user_func_array(), func_get_args() et autres fonctions qu'on utilise rarement.Code PHP :
function construitRequete($requete) {
$args = func_get_args();
array_shift($args);
foreach ($args as &$arg) {
switch (gettype($arg)) {
case 'string':
$arg = '"' . mysql_real_escape_string($arg) . '"';
break;
case 'bool':
case 'boolean':
$arg = $arg ? 1 : 0;
break;
case 'array':
foreach ($arg as &$element) {
$element = construitRequete('%s', $element);
}
$arg = implode(',',$arg);
break;
}
}
array_unshift($args, $requete);
return call_user_func_array('sprintf', $args);
}
Résultat :donneCode PHP :
$nom = 'Toto"; # DELETE FROM maTable'; // Tentative de hack
$id = 3; // un entier
$classes = array('6eA','6eB','6eC'); // un tableau
echo construitRequete('SELECT * FROM elves WHERE id=%s OR nom=%s OR classe IN (%s)', $id, $nom, $classes);Code :
SELECT * FROM elves WHERE id=3 OR nom="Toto\"; # DELETE FROM maTable" OR classe IN ("6eA","6eB","6eC")
Et ça devient tout de suite beaucoup plus simple de construire des requêtes sécurisées, sans avoir bourrer son code d'appels à mysql_real_escape_string()
[...]
06-28-2007, 11:44 AM
06-28-2007, 02:03 PM
pascaltje a écrit :je me demande si il faut parler d'une classe d'abstraction SQL ou pas pour la suite, ou séparer tout ça.J'avoue ne pas savoir non plus, je pense que les placeholders et les couches d'abstraction ce serait peut-être pour le "volume 2"
Par contre l'injection SQL a beau être compliquée c'est trop important pour être laissé de côté à mon avis.
P.S: Tout ce qui est publié est - sans avis contraire - du domaine public et seulement protégé par le droit d'auteur. Donc tu n'as pas à me demander mon avis pour reprendre le code tant que tu cites l'auteur original
En l'occurrence (vu le côté révolutionnaire de la production 
) j'abandonne évidemment toute propriété et tu as donc même le droit de ne pas me citer.06-28-2007, 08:21 PM
Merci du tuto, je viens de le lire et c'est effectivement très utile aux néophytes.
+1 pour un futur paragraphe sur la sécurité
+1 pour un futur paragraphe sur la sécurité
Pages : 1 2