Utilisation de PDO à la place de mysqli

[romain-neil]

Bonjour,
j'ai remarqué que dans plusieurs fichiers, il est utilisé l'extension mysqli pour différentes requêtes sur la base de donnée. Pour certaines requêtes, il n'y a aucun échapement des données envoyées par l'utilisateur, ce qui est, selon mon point de vue, plutôt une grosse faille de sécurité.

Exemple: $sql="SELECT * FROM eleves WHERE login='$tmp_ele[$loop]';";
(https://github.com/tbelliard/gepi/blob/master/cahier_notes/extraction_notes_cn.php#L171)

Je propose de commencer à travailler dans mon coin au portage vers PDO, avec notamment l'utilisation des requêtes préparées.

[crob27]

Bonjour,

Les variables envoyées en POST, GET,... sont traitées par la fonction anti_inject() appelant des real_escape_string dans lib/traitement_data.inc.php
Il y a aussi un traitement avec HTMLpurifier des variables.

Par ailleurs, le passage à PDO me parait être un vaste chantier.

Bien cordialement

[romain-neil]

Bonjour,

je trouve que les 465 lignes du fichier de traitement des caractères spéciaux dans les url risquent plus d'amener des erreurs, que d'utiliser une ligne avec la pdo.

Passer de l'utilisation de mysqli à pdo est pas des plus compliqué, les fonctions étant assez similaires.