Français
Français
Dans le développement de PHP moderne, la sécurité est l'un des problèmes que nous devons prioriser, en particulier lors de la gestion des requêtes de base de données. L'injection SQL est une méthode d'attaque courante où les attaquants peuvent manipuler des bases de données en injectant le code SQL malveillant. Par conséquent, l'utilisation rationnelle des instructions préparées et des méthodes PDOSTATION :: FetchObject peut effectivement empêcher ces risques.
PDO (PHP Data Objectts) est une couche d'abstraction d'accès de base de données fournie par PHP, qui vous permet d'accéder à plusieurs bases de données différentes de manière cohérente.
Les instructions préparées sont un mécanisme fourni par l'APD qui vous permet d'abord de définir les structures SQL, puis de lier les paramètres, de sorte que même si l'utilisateur entre dans un code malveillant, il ne sera pas exécuté en tant que SQL, empêchant ainsi les attaques d'injection.
Exemple:
<?php
// créer PDO Exemple
$pdo = new PDO('mysql:host=localhost;dbname=testdb;charset=utf8mb4', 'username', 'password');
// Requête avec déclaration de prétraitement
$stmt = $pdo->prepare('SELECT * FROM users WHERE id = :id');
$stmt->execute(['id' => $_GET['id']]);
// Obtenez le résultat en tant qu'objet
$user = $stmt->fetchObject();
if ($user) {
echo "nom d'utilisateur: " . htmlspecialchars($user->username, ENT_QUOTES, 'UTF-8');
} else {
echo "Utilisateur introuvable。";
}
?>
Dans cet exemple, l'espace réservé : ID est utilisé pour lier les paramètres, et PDO gère automatiquement le problème d'échappement, en évitant l'injection SQL.
La méthode FetchObject nous permet de renvoyer le résultat de la requête directement en tant qu'objet. Par défaut, il renvoie un objet STDClass anonyme, mais vous pouvez également spécifier une classe personnalisée pour héberger les données.
Supposons que nous ayons une classe d'utilisateurs :
<?php
class User {
public $id;
public $username;
public $email;
}
?>
Spécifiez le nom de classe lors de l'utilisation de fetchObject :
<?php
$stmt = $pdo->prepare('SELECT id, username, email FROM users WHERE id = :id');
$stmt->execute(['id' => $_GET['id']]);
$user = $stmt->fetchObject('User');
if ($user) {
echo "accueillir, " . htmlspecialchars($user->username, ENT_QUOTES, 'UTF-8');
}
?>
L'avantage de cela est que la structure est plus claire et plus facile à développer plus tard. Par exemple, vous pouvez ajouter des méthodes à la classe utilisateur pour le traitement logique.
Même si l'APD et FetchObject sont utilisés, les points suivants doivent toujours être notés:
N'éplisez jamais directement les instructions SQL entrées par les utilisateurs.
Utilisez toujours des espaces réservés (espaces réservés nommés ou des espaces interrogés) et liez les paramètres.
Utilisez HTMLSpecialChars pour échapper correctement à la sortie du contenu sur les pages Web pour empêcher les attaques XSS.
Définissez les modes de gestion des erreurs appropriés, par exemple:
<?php
$pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
?>
Différencier les environnements de développement et de production. L'environnement de production doit interdire l'affichage direct des messages d'erreur pour empêcher la fuite de la structure de la base de données.
Un système robuste devrait être en mesure de gérer gracieusement les erreurs de la base de données. Par exemple:
<?php
try {
$stmt = $pdo->prepare('SELECT * FROM users WHERE id = :id');
$stmt->execute(['id' => $_GET['id']]);
$user = $stmt->fetchObject('User');
if (!$user) {
header('Location: https://gitbox.net/not-found');
exit;
}
echo "Bonjour, " . htmlspecialchars($user->username, ENT_QUOTES, 'UTF-8');
} catch (PDOException $e) {
error_log($e->getMessage());
header('Location: https://gitbox.net/error');
exit;
}
?>
Dans cet exemple, nous attrapons l'erreur de requête grâce à la gestion des exceptions et passons à la page d'erreur amicale comme la situation est.
