Jérôme CUTRONA jerome.cutrona@univ-reims.fr PHP PDO Jérôme CUTRONA jerome.cutrona@univ-reims.fr 07:21:24 Programmation Web 2013-2014.

Slides:



Advertisements
Présentations similaires
PTI n°5: PDO.
Advertisements

Réaliser en Java un programme client d’une Base de Données
Ispirer Systems Présentation de la Société Copyright (c) Ispirer Systems Ltd. Tous Droits Réservés.
Scripts PHP Interaction avec MySQL Insert, Select, ….
MySQL I / Présentation. II / Administration et Outils.
Exposé de Système - Informatique et Réseau
51 Les technologies XML Cours 6 : XML et les architectures N-tiers – Tier Métier Janvier Version 1.0 -
MySQL et PHP.
Les Bases de données et le Web
Stéphane Frenot - Département Télécommunication - SID - II - Jdbc 280 JDBC Java Databases Connectivity.
PHP mySQL Extension php_mysql. Connexion à une base de données Établir une connexion mysql_connect(string server, string username, string password) –permet.
PHP S ÉANCE 2 PHP avancé 03:32:44 PWB L3 Mioage 1.
10:59:29 Programmation Web Programmation Web : PHP Jérôme CUTRONA
11:16:331 Programmation Web Programmation Web : Formulaires HTML Jérôme CUTRONA
Jérôme CUTRONA PHP et bases de données Jérôme CUTRONA 01:07:51 Programmation Web
PhpMyAdmin 01:08:02 Programmation Web
Jérôme CUTRONA PHP objet Jérôme CUTRONA 01:08:01 Programmation Web
Jérôme CUTRONA PHP PDO Jérôme CUTRONA 01:08:01 Programmation Web
Bases de données Objet singleton pour la connexion
PHP Interface base de données
Bases de données Objet singleton pour la connexion
LOG 02 Bases de Données Avancées Rappels sur JSP / Servlet
Développement d’applications web
Techniques Internet de Base Licence 2 (Info, Maths, PC/PA) Université Jean Monnet Ruggero G. PENSA
Le langage PHP 5.
Comprendre l’environnement Web
JDBC ou comment manipuler une base de données en Java ?
Les instructions PHP pour l'accès à une base de données MySql
Gestion des bases de données
A4.1.1 Proposition dune solution applicative A4.1.2 Conception ou adaptation de linterface utilisateur dune solution applicative A4.1.2 Conception ou.
1 PHP 1.Langage PHP 1.1. Types de base, variables et constantes 1.2. Opérateurs et expressions 1.3. Instructions 1.4. Fonctions 2.Accès aux bases de données:
MySQL Création des sites dynamiques
Web dynamique PhP + MySQL AYARI Mejdi 2006
JSP (Java Server Pages)
PROGRAMMATION INFORMATIQUE DINGÉNIERIE II PRO-1024.
Document élaboré à Centrale Paris par Pascal Morenton LES TECHNOLOGIES DU WEB 1. LES PHASES D UN DEPLOIEMENT DE RESEAUX 2. LE LANGAGE HTML 3. LE LANGAGE.
Christine Bonnet SOURCES : « Samples » dOracle, « Oracle 8 » R. Chapuis PRO*C – C ++
La plateforme.NET 2.0 vue par le développeur Pascal Belaud Microsoft France SAGA.NET
CPI/BTS 2 Programmation Web PHP et les Bases de données Prog Web CPI/BTS2 – M. Dravet – 11/03/2004 Dernière modification: 11/03/2004.
Programmation Internet en PHP SIL module M12
Content Management System CMS. Pourquoi ? Obligation de ressaisir des contenus publiés à plusieurs endroits Pas d’outils de gestion de qualité de l’information.
Développement d’application client/serveur
JDBC L'API JDBC est utilisée pour utilisée pour intéragir avec une base de données.
Les systèmes de gestion de base de données (SGBD)
{ Windows et PHP Un couple qui évolue Pierre Couzy – Microsoft France
Masters IIGLI et ILGII – Intranet internet extranet – – Claude Montacié 1 Cours n° 10 Accès distant aux bases de données.
 Syntaxe du langage PHP
 Requêtes MySQL en PHP Introduction
PHP objet Jérôme CUTRONA 10:13:27 Programmation Web
Le Langage SQL Introduction. 2 Historique du Langage SQL E. F. CODD : premiers articles dans les années 70 IBM crée le langage SEQUEL (Structured English.
Programmation Web : PHP
PHP5 objet "avancé" Jérôme CUTRONA 09:56:48 Programmation Web
Master 1 SIGLIS Intégration des données dans l’entreprise Stéphane Tallard JDBC: Java Database Connectivity Master 1 SIGLIS1JDBC.
Usine d’incinération d’ordures ménagères
Programmation Web : PHP
Les Servlets Présentation Cycle de vie Principe de fonctionnement
Programmation Web : DOM en PHP Jérôme CUTRONA 11:06:45 Programmation Web
Module 1 : Vue d'ensemble de Microsoft SQL Server
JDBC - p. 1 JDBC. JDBC - p. 2 Objectifs Fournir un accès homogène aux SGBDR Abstraction des SGBDR cibles Requêtes SQL Simple à mettre en oeuvre Core API.
02/06/2015© Robert Godin. Tous droits réservés.1 5 Interface entre SQL et un programme n SQL incomplet n Défaut d'impédance (impedance mismatch) – modèle.
PHP 4° PARTIE : BASE DE DONNEES
Bases de données Singleton pour la connexion
TWP Toolkit Formation 21/10/2009.
FACTORY systemes Module 2 Section 1 Page 2-3 Installation d’Industrial SQL FORMATION InSQL 7.0.
APP-TSWD Apprentissage Par Problèmes Techniques des Sites Web Dynamiques Licence Professionnelle FNEPI Valérie Bellynck, Benjamin Brichet-Billet, Mazen.
1 Les bases de données Séance 5 -- Le Langage de Définition de Données ou la manœuvre de la structure de la base -- Le Langage de Manœuvre de Données.
Programmation PHP / PDO
Jérôme CUTRONA PHP PDO Jérôme CUTRONA 23:38:06 Programmation Web
Bases de données Singleton pour la connexion
Transcription de la présentation:

Jérôme CUTRONA jerome.cutrona@univ-reims.fr PHP PDO Jérôme CUTRONA jerome.cutrona@univ-reims.fr 07:21:24 Programmation Web 2013-2014

Introduction 07:21:24 Programmation Web 2013-2014

PDO PDO : PHP Data Objects Extension PHP fournissant une interface pour accéder à une base de données Fournit une interface d'abstraction pour l'accès aux données Ne fournit PAS une abstraction de base de données SQL spécifique au moteur Fonctionnalités présentes / absentes Interface orientée objet 07:21:24 Programmation Web 2013-2014

Bases de données supportées Nom du driver Bases de données supportées PDO_DBLIB FreeTDS / Microsoft SQL Server / Sybase PDO_FIREBIRD Firebird/Interbase 6 PDO_IBM IBM DB2 PDO_INFORMIX IBM Informix Dynamic Server PDO_MYSQL MySQL 3.x/4.x/5.x PDO_OCI Oracle Call Interface PDO_ODBC ODBC v3 (IBM DB2, unixODBC et win32 ODBC) PDO_PGSQL PostgreSQL PDO_SQLITE SQLite 3 et SQLite 2 PDO_4D 4D 07:21:24 Programmation Web 2013-2014

Les classes de PDO 07:21:24 Programmation Web 2013-2014

Classes prédéfinies PDO : connexion PHP / base de données __construct() exec(), prepare(), query() errorCode(), errorInfo() getAttributes(), setAttribute() lastInsertId(), quote() beginTransaction() commit(), rollBack() getAvailableDrivers() 07:21:24 Programmation Web 2013-2014

Classes prédéfinies PDOStatement : requête préparée, jeu de résultats bindColumn(), bindParam(), bindValue(), closeCursor() errorCode(), errorInfo() fetch(), fetchAll(), fetchColumn(), fetchObject(), setFetchMode(), nextRowset() rowCount(), columnCount(), getColumnMeta() getAttribute(), setAttribute() execute() debugDumpParams() 07:21:24 Programmation Web 2013-2014

Comment se connecter ? 07:21:24 Programmation Web 2013-2014

Connexions et gestionnaire de connexion Instanciation d'un objet PDO $dbh=new PDO(DSN [, user [, pass [, options]]]); DSN : Data Source Name nom_du_driver:syntaxe_spécifique_au_driver Ex : mysql:host=localhost;dbname=ma_base user : nom d'utilisateur, pass : mot de passe options : tableau associatif spécifiques au driver Ex : array(PDO::ATTR_PERSISTENT => true)) ; Fin de connexion : $dbh=null ; ou unset($dbh) ; 07:21:24 Programmation Web 2013-2014

Gestion des erreurs 07:21:24 Programmation Web 2013-2014

Gestion des erreurs de connexion Connexion par construction d'un objet Gestion envisageable des erreurs Aucune Fin brutale (exit, die) État Exception En cas d'erreur de connexion Objet PDOException lancé PDOException hérite de Exception 07:21:25 Programmation Web 2013-2014

Gestion des erreurs de connexion <?php try { $dbh = new PDO('mysql:host=h;dbname=db', $user, $pass) ; … $dbh = null ; } catch (PDOException $e) { echo "Erreur: ".$e->getMessage()."<br/>" ; die() ; ?> 07:21:25 Programmation Web 2013-2014

Gestion des erreurs (hormis connexion) PDO::ERRMODE_SILENT (par défaut) Mode silencieux, mise en place d'un code d'erreur PDO : errorCode() / errorInfo() PDOStatement : errorCode() / errorInfo() PDO::ERRMODE_WARNING Mise en place du code d'erreur Émission d'une erreur de type E_WARNING PDO::ERRMODE_EXCEPTION Objet PDOException lancé 07:21:25 Programmation Web 2013-2014

Gestion des erreurs (hormis connexion) <?php try { $dbh = new PDO('mysql:host=h;dbname=db', $user, $pass) ; $dbh->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); … $dbh = null ; } catch (PDOException $e) { echo "Erreur: ".$e->getMessage()."<br/>" ; die() ; 07:21:25 Programmation Web 2013-2014

Gestion des erreurs : code d'erreur <?php $pdo = new PDO("mysql:host=localhost") ; $pdostat = $pdo->query("COUCOU") ; if ($pdo->errorCode()) { echo "ERREUR !!\n" ; echo "<pre>\n" ; var_dump($pdo->errorInfo()) ; echo "</pre>\n" ; } Code SQLSTATE Code erreur spécifique du driver ERREUR !! array(3) { [0]=> string(5) "42000" [1]=> int(1064) [2]=> string(47) "Erreur de syntaxe près de 'COUCOU' à la ligne 1" } Chaîne erreur spécifique au driver 07:21:25 Programmation Web 2013-2014

Gestion des erreurs : exceptions <?php try { $pdo = new PDO("mysql:host=localhost") ; $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION) ; $pdostat = $pdo->query("COUCOU") ; } catch (Exception $e) { echo "ERREUR : ".$e->getMessage() ; Code erreur spécifique du driver Chaîne erreur spécifique au driver Code SQLSTATE ERREUR : SQLSTATE[42000]: Syntax error or access violation: 1064 Erreur de syntaxe près de 'COUCOU' à la ligne 1 07:21:25 Programmation Web 2013-2014

EFFECTUER UNE REQUÊTE 07:21:25 Programmation Web 2013-2014

Exécution d'une requête PDOStatement PDO::query ( string statement ) <?php try { $pdo = new PDO("mysql:host=localhost") ; $pdostat = $pdo->query("SELECT * FROM clients") ; } catch (Exception $e) { echo "ERREUR : ".$e->getMessage() ; Résultat de requête Requête Une requête doit toujours être préparée ! query est donc à bannir 07:21:25 Programmation Web 2013-2014

Exploitation des résultats d'une requête Récupération des données ligne à ligne Une ligne peut être : un tableau indexé un tableau associatif un tableau mixte (par défaut) un objet anonyme un objet d'une classe définie par l'utilisateur Récupération des données d'une colonne 07:21:25 Programmation Web 2013-2014

Parcours du résultat d'une requête Parcourir le résultat de la requête SELECT * FROM morceau ORDER BY mor_id Résultat de requête Curseur interne +--------+------------------------------------+ | mor_id | mor_nom | | 872 | With A Little Help From My Friends | | 873 | The Letter | | 874 | Marjorine | | 875 | Midnight Rider | | 876 | You Are So Beautiful | | 877 | Feelin' Allright | | 878 | Cry Me A River | ... 07:21:25 Programmation Web 2012-2013

Exploitation des résultats d'une requête (1) try { $pdo=new PDO("mysql:host=localhost;dbname=mysql") ; $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $pdostat = $pdo->query("SELECT name FROM user") ; $pdostat->setFetchMode(PDO::FETCH_ASSOC) ; foreach ($pdostat as $ligne) { echo "<p>" . $ligne['name'] . "\n" ; } catch (Exception $e) { echo "ERREUR : ".$e->getMessage() ; 07:21:25 Programmation Web 2013-2014

Exploitation des résultats d'une requête (2) try { $pdo=new PDO("mysql:host=localhost;dbname=mysql") ; $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $pdostat = $pdo->query("SELECT name FROM user") ; foreach ($pdostat->fetchAll(PDO::FETCH_ASSOC) as $ligne) { echo "<p>" . $ligne['name'] . "\n" ; } catch (Exception $e) { echo "ERREUR : ".$e->getMessage() ; 07:21:25 Programmation Web 2013-2014

Exploitation des résultats d'une requête (3) try { $pdo=new PDO("mysql:host=localhost;dbname=mysql") ; $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $pdostat = $pdo->query("SELECT name FROM user") ; while ($ligne = $pdostat->fetch(PDO::FETCH_ASSOC)) { echo "<p>" . $ligne['name'] . "\n" ; } catch (Exception $e) { echo "ERREUR : ".$e->getMessage() ; 07:21:25 Programmation Web 2013-2014

Modes de récupération des données (1) PDO::FETCH_ASSOC retourner chaque ligne dans un tableau indexé par les noms des colonnes comme elles sont retournées dans le jeu de résultats correspondant. Si le jeu de résultats contient de multiples colonnes avec le même nom, PDO::FETCH_ASSOC retourne une seule valeur par nom de colonne. PDO::FETCH_NUM retourner chaque ligne dans un tableau indexé par le numéro des colonnes comme elles sont retournées dans le jeu de résultats correspondant, en commençant à 0. 07:21:25 Programmation Web 2013-2014

Modes de récupération des données (2) PDO::FETCH_BOTH (par défaut) retourner chaque ligne dans un tableau indexé par les noms des colonnes ainsi que leurs numéros, comme elles sont retournées dans le jeu de résultats correspondant, en commençant à 0. PDO::FETCH_OBJ retourner chaque ligne dans un objet avec les noms de propriétés correspondant aux noms des colonnes comme elles sont retournées dans le jeu de résultats. 07:21:25 Programmation Web 2013-2014

Modes de récupération des données (3) PDO::FETCH_BOUND retourner true et assigner les valeurs des colonnes du jeu de résultats dans les variables PHP auxquelles elles sont liées avec la méthode PDOStatement::bindParam() ou la méthode PDOStatement::bindColumn(). PDO::FETCH_CLASS | PDO::FETCH_CLASSTYPE retourner une nouvelle instance de la classe demandée, liant les colonnes aux propriétés nommées dans la classe. Nom de la classe = 1ère colonne. 07:21:25 Programmation Web 2013-2014

Modes de récupération des données (4) PDO::FETCH_INTO met à jour une instance existante de la classe demandée, liant les colonnes du jeu de résultats aux noms des propriétés de la classe. PDO::FETCH_LAZY retourner chaque ligne en tant qu'objet avec les noms des attributs correspondant aux noms des colonnes retournées dans le jeu de résultats. PDO::FETCH_LAZY crée les noms des attributs de l'objet comme ils sont rencontrés. 07:21:25 Programmation Web 2013-2014

Exemple avec PDO::FETCH_CLASS $stmt = $pdo->query(<<<SQL SELECT id, name FROM artist WHERE id = 12 SQL ) ; $stmt->setFetchMode(PDO::FETCH_CLASS, 'Album') ; if (($object = $stmt->fetch()) !== false) { return $object ; } Instancie un objet de la classe Album dont les attributs sont supposés être id et name 07:21:25 Programmation Web 2013-2014

Préparation d'une requête Déroulement d'une requête SQL Analyse Compilation Optimisation Exécution Exécution répétée d'une requête : 1+2+3+4 Préparation d'une requête : 1+2+3 Exécution répétée d'une requête préparée : 4 Préparation en fonction de paramètres : Anonymes Nommés 07:21:25 Programmation Web 2013-2014

REQUÊTES PRÉPARÉES 07:21:25 Programmation Web 2013-2014

Préparation d'une requête PDOStatement PDO::prepare(string statement [, array driver_options]) statement : la requête à préparer. Peut contenir des paramètres anonymes (?) ou nommés (:nom) driver_options : tableau d'options du driver retourne un objet PDOStatement qui effectuera l'association des paramètres et exécutera la requête $pdo=new PDO("mysql:host=localhost;dbname=mysql") ; $pdostat = $pdo->prepare( "SELECT * FROM user WHERE User= ?") ; 07:21:25 Programmation Web 2013-2014

Association des paramètres d'une requête bool PDOStatement::bindValue(mixed parameter, mixed value [, int data_type]) parameter : le paramètre (nom ou position [1…n]) value : sa valeur data_type : le type de la valeur PDO::PARAM_BOOL booléen. PDO::PARAM_NULL NULL SQL. PDO::PARAM_INT INTEGER SQL. PDO::PARAM_STR CHAR, VARCHAR ou autre chaîne. PDO::PARAM_LOB "objet large" SQL. bool PDOStatement::execute([array parameters]) parameters : tableau associatif ou indexé des valeurs 07:21:25 Programmation Web 2013-2014

Préparation puis exécution d'une requête (1) $pdo=new PDO("mysql:host=localhost;dbname=mysql") ; $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $pdostat = $pdo->prepare( "SELECT * FROM user WHERE User= ?") ; $pdostat->bindValue(1, 'root') ; $pdostat->execute() ; // Utilisation du résultat $pdostat->bindValue(1, 'cutrona') ; paramètre anonyme Association d'une valeur au 1er paramètre Exécution de la requête Exécution de la requête Préparation de la requête Association d'une valeur au 1er paramètre 07:21:25 Programmation Web 2013-2014

Préparation puis exécution d'une requête (2) $pdo=new PDO("mysql:host=localhost;dbname=mysql") ; $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $pdostat = $pdo->prepare( "SELECT * FROM user WHERE User= :utilisateur") ; $pdostat->bindValue(':utilisateur', 'root') ; $pdostat->execute() ; // Utilisation du résultat $pdostat->bindValue(':utilisateur', 'cutrona') ; paramètre nommé Association d'une valeur au paramètre nommé Exécution de la requête Exécution de la requête Préparation de la requête Association d'une valeur au paramètre nommé 07:21:25 Programmation Web 2013-2014

Préparation puis exécution d'une requête (3) $pdo=new PDO("mysql:host=localhost;dbname=mysql") ; $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $pdostat = $pdo->prepare( "SELECT * FROM user WHERE User= ?") ; $pdostat->execute(array('root')) ; // Utilisation du résultat $pdostat->execute(array('cutrona')) ; paramètre anonyme Association d'une valeur au 1er paramètre Exécution de la requête Exécution de la requête Préparation de la requête Association d'une valeur au 1er paramètre 07:21:25 Programmation Web 2013-2014

Préparation puis exécution d'une requête (4) $pdo=new PDO("mysql:host=localhost;dbname=mysql") ; $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $pdostat = $pdo->prepare( "SELECT * FROM user WHERE User= :utilisateur") ; $pdostat->execute( array(':utilisateur' => 'root')) ; // Utilisation du résultat array(':utilisateur' => 'cutrona')) ; paramètre nommé Association d'une valeur au paramètre nommé Exécution de la requête Exécution de la requête Préparation de la requête Association d'une valeur au paramètre nommé 07:21:25 Programmation Web 2013-2014

Intérêt des requêtes préparées Amélioration des performances en cas d'exécutions répétées Émulation faite par PDO si le driver ne les supporte pas nativement Protection automatique des valeurs des paramètres pour interdire les attaques par injection de code SQL 07:21:25 Programmation Web 2013-2014

Attaque par injection SQL 07:21:25 Programmation Web 2013-2014

Attaque par injection SQL ? Ex : validation d'un login/pass sur un site Requête consistant à trouver un enregistrement correspondant au couple login/pass fourni par l'utilisateur SELECT * FROM membre WHERE login='{$_GET['login']}' AND passwd='{$_GET['passwd']}' Et si on essayait de fournir un mot de passe un peu particulier… 07:21:25 Programmation Web 2013-2014

Exemple concret d'injection SQL (1) $pdo = new PDO('mysql:host=localhost;dbname=test') ; $pdostat = $pdo->query($req = <<<SQL SELECT * FROM membre WHERE login='{$_GET['login']}' AND passwd='{$_GET['passwd']}' SQL ) ; echo "Requête:\n$req\n" ; if ($utilisateur = $pdostat->fetch()) echo "Bienvenue {$utilisateur['nom']}" ; else echo "Désolé..." ; 07:21:25 Programmation Web 2013-2014

Exemple concret d'injection SQL (2) Saisie de l'utilisateur par formulaire : mail : whatever pass : who_cares? URL : ?mail=whatever&passwd=who_cares? Requête: SELECT * FROM membre WHERE login='whatever' AND passwd='who_cares?' Désolé... 07:21:25 Programmation Web 2013-2014

Exemple concret d'injection SQL (3) Saisie de l'utilisateur : mail : whatever pass : who_cares?' OR true!=' URL : ?mail=whatever&passwd=who_cares?'%20OR%20true!=' Requête: SELECT * FROM membre WHERE login='whatever' AND passwd='who_cares?' OR true!='' Bienvenue John 07:21:25 Programmation Web 2013-2014

Protection contre les injections SQL (1) $pdo = new PDO('mysql:host=localhost;dbname=test') ; $pdostat = $pdo->prepare($req = <<<SQL SELECT * FROM membre WHERE login=? AND passwd=? SQL ) ; $pdostat->execute(array($_GET['login'], $_GET['passwd'])) ; if ($utilisateur = $pdostat->fetch()) { echo "Bienvenue {$utilisateur['nom']}\n" ; } else { echo "Désole...\n" ; } 07:21:25 Programmation Web 2013-2014

Protection contre les injections SQL (2) $pdo = new PDO('mysql:host=localhost;dbname=test') ; $login = $pdo->quote($_GET['login']) ; $passwd = $pdo->quote($_GET['passwd']) ; $pdostat = $pdo->query($req = <<<SQL SELECT * FROM membre WHERE login=$login AND passwd=$passwd SQL ) ; echo "Requête:\n$req\n" ; if ($utilisateur = $pdostat->fetch()) { echo "Bienvenue {$utilisateur['nom']}\n" ; } else { echo "Désole...\n" ; } Requête: SELECT * FROM membre WHERE login='whatever' AND passwd='who_cares?\' OR true!=\'' Désolé... 07:21:25 Programmation Web 2013-2014

Gestion des transactions 07:21:25 Programmation Web 2013-2014

Transactions Transactions : Mode PDO par défaut : Atomicité, Consistance, Isolation et Durabilité BEGIN puis COMMIT ou ROLLBACK Mode PDO par défaut : Chaque requête est validée automatiquement PDO::beginTransaction() PDO::commit() PDO::rollBack() Tous les moteurs ne supportent pas les transactions  PDOException 07:21:25 Programmation Web 2013-2014

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.