Requêtes préparées en PHP

Recherche simple en PHP avec PDO

<!doctype html>
<html>
<head>
<title>
Recherche d'une personne par ID
</title>
<meta charset="utf-8">
</head>
<body>
<?php $wanted=$_GET['ID']; 
if (!empty($wanted)){
	echo "<h1>Recherche de  $wanted </h1>";
	require_once('connexion.php');
	$connexion=connect_bd();
	$sql="SELECT * from CARNET where ID='".$wanted."'";
	if(!$connexion->query($sql))
		echo "Pb de requete";
	else{
	foreach ($connexion->query($sql) as $row)
		echo $row['NOM']." ".$row['PRENOM']."</br>\n";
  }
}
  ?>
</body>
</html>

Appel avec le paramètre ID passé sur l’URL: php exemples/pdo/recherche.php?ID=3

Execution

Mais lorsqu’il y a de nombreux paramètres, on se retrouve avec de nombreuses concaténations de chaines entourées de “cotes” ce qui est une grande source d’erreurs et de lenteurs d’écriture. Pour remédier à cela, on peut utiliser des requêtes préparées qui permettent de bien dissocier la requête des paramètres qui vont lui être fournis avant son exécution. Ces PreparedStatement seront également bien préférables en termes de sécurité et à utiliser systématiquement.

Recherche avec PreparedStatement

<!doctype html>
<html>
<head>
<title>
Recherche d'une personne par ID
</title>
<meta charset="utf-8">
</head>
<body>
<?php $wanted=$_GET['ID']; 
if (!empty($wanted)){
  echo "<h1>Recherche de  $wanted </h1>";
  require_once('connexion.php');
  $connexion=connect_bd();
$sql="SELECT * from CARNET where ID=:id";
$stmt=$connexion->prepare($sql);
$stmt->bindParam(':id', $_GET['ID']);
$stmt->execute();
if (!$stmt) echo "Pb d'accès au CARNET";
else{
    if ($stmt->rowCount()==0) echo "Inconnu !<br/>";
    else
     foreach ($stmt as $row)
     echo $row['PRENOM']." ".$row['NOM'].
          "né(e) le ".$row['NAISSANCE']."<br/>";
}
}
?>
</body>
</html>

Les requêtes préparées limitent fortement la possibilité d”injections SQL comme nous le verront plus tard.

Table des matières

Sujet précédent

Connexion aux bases de données depuis PHP avec PDO

Sujet suivant

Compléments sur PDO - Sécurité