Français
Français
PDOSTATION :: FetchColumn est une méthode fournie par PDO, qui est spécifiquement utilisée pour obtenir une colonne de données à partir d'un ensemble de résultats de requête. Contrairement à d'autres méthodes Fetch , FetchColumn ne renvoie que la première colonne du résultat de la requête, ce qui le rend utile lors de la gestion de certaines requêtes telles que le nombre de sélections (*) ou la question d'un seul champ.
Lors de l'exécution de requêtes SQL, si l'entrée de l'utilisateur est directement intégrée dans les instructions SQL, l'attaquant peut contourner l'intention d'origine de la requête par entrée spécialement conçue, entraînant des problèmes d'injection SQL. L'utilisation du mécanisme de liaison des paramètres fournie par l'APD peut empêcher ce risque.
Pour éviter efficacement l'injection SQL, il est essentiel d'utiliser correctement les instructions préparées de l'APD et la liaison des paramètres. Les problèmes d'injection SQL peuvent être évités en transmettant l'entrée de l'utilisateur en tant que paramètre à la requête SQL au lieu de l'épisser directement dans l'instruction SQL.
Voici un exemple montrant comment exécuter une requête sécurisée à l'aide de Pdostatement :: FetchColumn et des instructions de prétraitement:
<span><span><span class="hljs-meta"><?php</span></span><span>
</span><span><span class="hljs-keyword">try</span></span><span> {
</span><span><span class="hljs-comment">// Créer une connexion de base de données</span></span><span>
</span><span><span class="hljs-variable">$pdo</span></span><span> = </span><span><span class="hljs-keyword">new</span></span><span> </span><span><span class="hljs-title function_ invoke__">PDO</span></span><span>(</span><span><span class="hljs-string">'mysql:host=localhost;dbname=testdb'</span></span><span>, </span><span><span class="hljs-string">'username'</span></span><span>, </span><span><span class="hljs-string">'password'</span></span><span>);
</span><span><span class="hljs-variable">$pdo</span></span><span>-></span><span><span class="hljs-title function_ invoke__">setAttribute</span></span><span>(PDO::</span><span><span class="hljs-variable constant_">ATTR_ERRMODE</span></span><span>, PDO::</span><span><span class="hljs-variable constant_">ERRMODE_EXCEPTION</span></span><span>);
</span><span><span class="hljs-comment">// Entrée utilisateur</span></span><span>
</span><span><span class="hljs-variable">$username</span></span><span> = </span><span><span class="hljs-variable">$_GET</span></span><span>[</span><span><span class="hljs-string">'username'</span></span><span>];
</span><span><span class="hljs-comment">// Utiliser des déclarations de prétraitement,Lier les paramètres</span></span><span>
</span><span><span class="hljs-variable">$stmt</span></span><span> = </span><span><span class="hljs-variable">$pdo</span></span><span>-></span><span><span class="hljs-title function_ invoke__">prepare</span></span><span>(</span><span><span class="hljs-string">"SELECT COUNT(*) FROM users WHERE username = :username"</span></span><span>);
</span><span><span class="hljs-variable">$stmt</span></span><span>-></span><span><span class="hljs-title function_ invoke__">bindParam</span></span><span>(</span><span><span class="hljs-string">':username'</span></span><span>, </span><span><span class="hljs-variable">$username</span></span><span>, PDO::</span><span><span class="hljs-variable constant_">PARAM_STR</span></span><span>);
</span><span><span class="hljs-comment">// Exécuter une requête</span></span><span>
</span><span><span class="hljs-variable">$stmt</span></span><span>-></span><span><span class="hljs-title function_ invoke__">execute</span></span><span>();
</span><span><span class="hljs-comment">// Obtenez la première colonne du résultat de la requête</span></span><span>
</span><span><span class="hljs-variable">$count</span></span><span> = </span><span><span class="hljs-variable">$stmt</span></span><span>-></span><span><span class="hljs-title function_ invoke__">fetchColumn</span></span><span>();
</span><span><span class="hljs-comment">// Résultats de la requête de sortie</span></span><span>
</span><span><span class="hljs-keyword">echo</span></span><span> </span><span><span class="hljs-string">"utilisateur '<span class="hljs-subst">$username</span></span></span><span>' Le nombre de comptes est: " . </span><span><span class="hljs-variable">$count</span></span><span>;
} </span><span><span class="hljs-keyword">catch</span></span><span> (PDOException </span><span><span class="hljs-variable">$e</span></span><span>) {
</span><span><span class="hljs-keyword">echo</span></span><span> </span><span><span class="hljs-string">'Échec de la connexion: '</span></span><span> . </span><span><span class="hljs-variable">$e</span></span><span>-></span><span><span class="hljs-title function_ invoke__">getMessage</span></span><span>();
}
</span><span><span class="hljs-meta">?></span></span><span>
</span></span>Dans le code ci-dessus, nous utilisons des instructions de prétraitement PDO pour éviter l'injection de SQL:
Connexion de la base de données: nous avons créé une connexion de la base de données via un nouveau PDO et définissez le mode d'erreur sur exception afin d'attraper toutes les erreurs.
Énoncé du prétraitement: Nous utilisons la méthode de préparation pour créer des requêtes SQL, afin que les requêtes SQL soient séparées de l'entrée des utilisateurs, empêchant le risque d'injection causé par l'épissage direct de SQL.
Paramètres de liaison: via la méthode BindParam , nous lions le paramètre : nom d'utilisateur à la valeur saisie par le nom d'utilisateur de l'utilisateur $ . Cela garantit que les valeurs saisies par l'utilisateur sont traitées en toute sécurité et ne sont pas intégrées directement dans la requête SQL.
Obtenez le résultat: utilisez FetchColumn pour obtenir la première colonne du résultat de la requête (dans cet exemple, le nombre de comptes d'utilisateurs), au lieu de renvoyer l'intégralité de l'ensemble de résultats de requête, ce qui rend le code plus concis et efficace.
Évitez les coutures SQL: en utilisant des instructions de prétraitement, nous évitons complètement d'épisser la saisie des utilisateurs directement dans les requêtes SQL. Il s'agit de la principale source d'injection SQL. Peu importe le contenu malveillant que l'utilisateur entre, il sera échappé correctement et passera en tant que paramètre, et non dans le cadre de la requête.
LIAISSANCE DES PARAMERS: Utilisez les paramètres de liaison BindParam ou BindValue pour vous assurer que les données entrées par l'utilisateur sont traitées en toute sécurité. L'OPD gère automatiquement l'échappement des valeurs d'entrée et la conversion des types de données, en évitant la possibilité que les attaquants d'injection SQL puissent manipuler les instructions SQL via une entrée intelligente.
Code simplifié: La méthode FetchColumn est spécifiquement utilisée pour obtenir des données à partir d'une seule colonne, en évitant le traitement de jeu de résultats inutile et rendant le code plus concis.
Étiquettes associées:
PDOStatement SQL
