Jérôme CUTRONA jerome.cutrona@univ-reims.fr PHP PDO Jérôme CUTRONA jerome.cutrona@univ-reims.fr 01:08:01 Programmation Web 2012-2013.

Slides:



Advertisements
Présentations similaires
Réaliser en Java un programme client d’une Base de Données
Advertisements

PHP Accès au système de fichiers
Approfondissement du langage
Cours n°2M2. IST-IE (S. Sidhom) UE 303 Promo. M2 IST-IE 2005/06 Conception dun système d'information multimédia Architecture trois-tiers : PHP/MySQL &
51 Les technologies XML Cours 6 : XML et les architectures N-tiers – Tier Métier Janvier Version 1.0 -
MySQL et PHP.
Les Bases de données et le Web
Stéphane Frenot - Département Télécommunication - SID - II - Jdbc 280 JDBC Java Databases Connectivity.
PHP mySQL Extension php_mysql. Connexion à une base de données Établir une connexion mysql_connect(string server, string username, string password) –permet.
11:16:331 Programmation Web Programmation Web : Formulaires HTML Jérôme CUTRONA
Jérôme CUTRONA PHP et bases de données Jérôme CUTRONA 01:07:51 Programmation Web
Programmation Web : Protocole HTTP
PhpMyAdmin 01:08:02 Programmation Web
Jérôme CUTRONA PHP objet Jérôme CUTRONA 01:08:01 Programmation Web
11:37:32 Programmation Web PHP5 objet "avancé" Jérôme CUTRONA
Bases de données Objet singleton pour la connexion
PHP Interface base de données
Bases de données Objet singleton pour la connexion
LE LANGAGE SQL : LDD La création de tables L’ordre CREATE CREATE TABLE nom_de_table (Nom_colonne Type_colonne, Nom_colonne Type_colonne,
Développement d’applications web
Techniques Internet de Base Licence 2 (Info, Maths, PC/PA) Université Jean Monnet Ruggero G. PENSA
L’utilisation des bases de données
Le langage PHP 5.
Connexion en mode application. Bases de données - Yann Loyer2 Connexion en mode application Pour tout type dutilisateurs : –passif, actif, gérant Permettre.
JDBC ou comment manipuler une base de données en Java ?
Les instructions PHP pour l'accès à une base de données MySql
L’utilisation des bases de données
EPID-CPI-ISAIP Philippe Bancquart - mise à jour 24/02/ page 1 Procédures stockées CPI-SQLServer.
Manipulation de formulaires en Javascript
1 PHP 1.Langage PHP 1.1. Types de base, variables et constantes 1.2. Opérateurs et expressions 1.3. Instructions 1.4. Fonctions 2.Accès aux bases de données:
MySQL Création des sites dynamiques
Web dynamique PhP + MySQL AYARI Mejdi 2006
COURS DE PROGRAMMATION ORIENTEE OBJET :
Initiation aux bases de données et à la programmation événementielle
Christine Bonnet SOURCES : « Samples » dOracle, « Oracle 8 » R. Chapuis PRO*C – C ++
CPI/BTS 2 Programmation Web PHP et les Bases de données Prog Web CPI/BTS2 – M. Dravet – 11/03/2004 Dernière modification: 11/03/2004.
Animateur : Med HAIJOUBI
Programmation Internet en PHP SIL module M12
Présenté par COMTE Jeremy et DE LAZZARI Thomas Sommaire b Présentation générale b Include b Notion de variables b MySQL.
Linq & les expressions lambda. L Language In Integrated Q Query.
JDBC L'API JDBC est utilisée pour utilisée pour intéragir avec une base de données.
Chapitre 6.2 Les curseurs Cours SGBD 3A Mme hkimi Jihène
11 mars 2008© présente Bien utiliser son navigateur Internet Tous droits réservés.
Créer des packages.
{ Windows et PHP Un couple qui évolue Pierre Couzy – Microsoft France
Masters IIGLI et ILGII – Intranet internet extranet – – Claude Montacié 1 Cours n° 10 Accès distant aux bases de données.
 Syntaxe du langage PHP
 Requêtes MySQL en PHP Introduction
420-B63 Programmation Web Avancée Auteur : Frédéric Thériault 1.
Jérôme CUTRONA PHP PDO Jérôme CUTRONA 07:21:24 Programmation Web
Réaliser par: Sadok Amel Cheboui hassiba
Institut Supérieur d’Informatique
06:34:37 Programmation Web PHP Fonctions associées aux tableaux Jérôme CUTRONA
PHP5 objet "avancé" Jérôme CUTRONA 09:56:48 Programmation Web
 Formulaires HTML : traiter les entrées utilisateur
Master 1 SIGLIS Intégration des données dans l’entreprise Stéphane Tallard JDBC: Java Database Connectivity Master 1 SIGLIS1JDBC.
Initiation au web dynamique Licence Professionnelle.
Programmation Web : DOM en PHP Jérôme CUTRONA 11:06:45 Programmation Web
02/06/2015© Robert Godin. Tous droits réservés.1 5 Interface entre SQL et un programme n SQL incomplet n Défaut d'impédance (impedance mismatch) – modèle.
PHP 4° PARTIE : BASE DE DONNEES
JDBC (Complément de cours) IFT 3030
Séance /10/2004 SGBD - Approches & Principes.
Bases de données Singleton pour la connexion
Philippe Gandy – 10 novembre 2015 Basé sur les notes de cours de Daniel Morin et Roch Leclerc.
APP-TSWD Apprentissage Par Problèmes Techniques des Sites Web Dynamiques Licence Professionnelle FNEPI Valérie Bellynck, Benjamin Brichet-Billet, Mazen.
1 Les bases de données Séance 5 -- Le Langage de Définition de Données ou la manœuvre de la structure de la base -- Le Langage de Manœuvre de Données.
Programmation PHP / PDO
Jérôme CUTRONA PHP PDO Jérôme CUTRONA 23:38:06 Programmation Web
Bases de données Singleton pour la connexion
Transcription de la présentation:

Jérôme CUTRONA jerome.cutrona@univ-reims.fr PHP PDO Jérôme CUTRONA jerome.cutrona@univ-reims.fr 01:08:01 Programmation Web 2012-2013

PDO PDO : PHP Data Objects Extension PHP fournissant une interface pour accéder à une base de données Fournit une interface d'abstraction pour l'accès aux données Ne fournit PAS une abstraction de base de données SQL spécifique au moteur Fonctionnalités présentes / absentes Interface orientée objet 01:08:01 Programmation Web 2012-2013

Bases de données supportées Nom du driver Bases de données supportées PDO_DBLIB FreeTDS / Microsoft SQL Server / Sybase PDO_FIREBIRD Firebird/Interbase 6 PDO_IBM IBM DB2 PDO_INFORMIX IBM Informix Dynamic Server PDO_MYSQL MySQL 3.x/4.x/5.x PDO_OCI Oracle Call Interface PDO_ODBC ODBC v3 (IBM DB2, unixODBC et win32 ODBC) PDO_PGSQL PostgreSQL PDO_SQLITE SQLite 3 et SQLite 2 PDO_4D 4D 01:08:01 Programmation Web 2012-2013

Classes prédéfinies PDO : connexion PHP / base de données __construct() exec(), prepare(), query() errorCode(), errorInfo() getAttributes(), setAttribute() lastInsertId(), quote() beginTransaction() commit(), rollBack() getAvailableDrivers() 01:08:01 Programmation Web 2012-2013

Classes prédéfinies PDOStatement : requête préparée, jeu de résultats bindColumn(), bindParam(), bindValue(), closeCursor() errorCode(), errorInfo() fetch(), fetchAll(), fetchColumn(), fetchObject(), setFetchMode(), nextRowset() rowCount(), columnCount(), getColumnMeta() getAttribute(), setAttribute() execute() debugDumpParams() 01:08:01 Programmation Web 2012-2013

Connexions et gestionnaire de connexion Instanciation d'un objet PDO $dbh=new PDO(DSN [, user [, pass [, options]]]); DSN : Data Source Name nom_du_driver:syntaxe_spécifique_au_driver Ex : mysql:host=localhost;dbname=ma_base user : nom d'utilisateur, pass : mot de passe options : tableau associatif spécifiques au driver Ex : array(PDO::ATTR_PERSISTENT => true)) ; Fin de connexion : $dbh=null ; ou unset($dbh) ; 01:08:01 Programmation Web 2012-2013

Gestion des erreurs de connexion Connexion par construction d'un objet Gestion envisageable des erreurs Aucune Fin brutale (exit, die) État Exception En cas d'erreur de connexion Objet PDOException lancé PDOException hérite de Exception 01:08:01 Programmation Web 2012-2013

Gestion des erreurs de connexion <?php try { $dbh = new PDO('mysql:host=h;dbname=db', $user, $pass) ; … $dbh = null ; } catch (PDOException $e) { echo "Erreur: ".$e->getMessage()."<br/>" ; die() ; ?> 01:08:01 Programmation Web 2012-2013

Gestion des erreurs (hormis connexion) PDO::ERRMODE_SILENT (par défaut) Mode silencieux, mise en place d'un code d'erreur PDO : errorCode() / errorInfo() PDOStatement : errorCode() / errorInfo() PDO::ERRMODE_WARNING Mise en place du code d'erreur Émission d'une erreur de type E_WARNING PDO::ERRMODE_EXCEPTION Objet PDOException lancé 01:08:01 Programmation Web 2012-2013

Gestion des erreurs (hormis connexion) <?php try { $dbh = new PDO('mysql:host=h;dbname=db', $user, $pass) ; $dbh->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); … $dbh = null ; } catch (PDOException $e) { echo "Erreur: ".$e->getMessage()."<br/>" ; die() ; ?> 01:08:01 Programmation Web 2012-2013

Gestion des erreurs : code d'erreur <?php $pdo = new PDO("mysql:host=localhost") ; $pdostat = $pdo->query("COUCOU") ; if ($pdo->errorCode()) { echo "ERREUR !!\n" ; echo "<pre>\n" ; var_dump($pdo->errorInfo()) ; echo "</pre>\n" ; } ?> Code SQLSTATE Code erreur spécifique du driver ERREUR !! array(3) { [0]=> string(5) "42000" [1]=> int(1064) [2]=> string(47) "Erreur de syntaxe près de 'COUCOU' à la ligne 1" } Chaîne erreur spécifique au driver 01:08:01 Programmation Web 2012-2013

Gestion des erreurs : exceptions <?php try { $pdo = new PDO("mysql:host=localhost") ; $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION) ; $pdostat = $pdo->query("COUCOU") ; } catch (Exception $e) { echo "ERREUR : ".$e->getMessage() ; ?> Code erreur spécifique du driver Chaîne erreur spécifique au driver Code SQLSTATE ERREUR : SQLSTATE[42000]: Syntax error or access violation: 1064 Erreur de syntaxe près de 'COUCOU' à la ligne 1 01:08:01 Programmation Web 2012-2013

Exécution d'une requête PDOStatement PDO::query ( string statement ) <?php try { $pdo = new PDO("mysql:host=localhost") ; $pdostat = $pdo->query("SELECT * FROM clients") ; } catch (Exception $e) { echo "ERREUR : ".$e->getMessage() ; ?> Résultat de requête Requête 01:08:01 Programmation Web 2012-2013

Exploitation des résultats d'une requête Récupération des données ligne à ligne Une ligne peut être : un tableau indexé un tableau associatif un tableau mixte (par défaut) un objet anonyme un objet d'une classe définie par l'utilisateur Récupération des données d'une colonne 01:08:01 Programmation Web 2012-2013

Exploitation des résultats d'une requête (1) try { $pdo=new PDO("mysql:host=localhost;dbname=mysql") ; $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $pdostat = $pdo->query("SELECT * FROM user") ; $pdostat->setFetchMode(PDO::FETCH_ASSOC) ; foreach ($pdostat as $ligne) { echo implode(';', $ligne)."<br>\n" ; } catch (Exception $e) { echo "ERREUR : ".$e->getMessage() ; 01:08:01 Programmation Web 2012-2013

Exploitation des résultats d'une requête (2) try { $pdo=new PDO("mysql:host=localhost;dbname=mysql") ; $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $pdostat = $pdo->query("SELECT * FROM user") ; foreach ($pdostat->fetchAll(PDO::FETCH_ASSOC) as $ligne) { echo implode(';', $ligne)."<br>\n" ; } catch (Exception $e) { echo "ERREUR : ".$e->getMessage() ; 01:08:01 Programmation Web 2012-2013

Exploitation des résultats d'une requête (3) try { $pdo=new PDO("mysql:host=localhost;dbname=mysql") ; $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $pdostat = $pdo->query("SELECT * FROM user") ; while ($ligne = $pdostat->fetch(PDO::FETCH_ASSOC)) { echo implode(';', $ligne)."<br>\n" ; } catch (Exception $e) { echo "ERREUR : ".$e->getMessage() ; 01:08:01 Programmation Web 2012-2013

Modes de récupération des données (1) PDO::FETCH_ASSOC retourner chaque ligne dans un tableau indexé par les noms des colonnes comme elles sont retournées dans le jeu de résultats correspondant. Si le jeu de résultats contient de multiples colonnes avec le même nom, PDO::FETCH_ASSOC retourne une seule valeur par nom de colonne. PDO::FETCH_NUM retourner chaque ligne dans un tableau indexé par le numéro des colonnes comme elles sont retournées dans le jeu de résultats correspondant, en commençant à 0. 01:08:01 Programmation Web 2012-2013

Modes de récupération des données (2) PDO::FETCH_BOTH retourner chaque ligne dans un tableau indexé par les noms des colonnes ainsi que leurs numéros, comme elles sont retournées dans le jeu de résultats correspondant, en commençant à 0. PDO::FETCH_OBJ retourner chaque ligne dans un objet avec les noms de propriétés correspondant aux noms des colonnes comme elles sont retournées dans le jeu de résultats. 01:08:01 Programmation Web 2012-2013

Modes de récupération des données (3) PDO::FETCH_BOUND retourner true et assigner les valeurs des colonnes du jeu de résultats dans les variables PHP auxquelles elles sont liées avec la méthode PDOStatement::bindParam() ou la méthode PDOStatement::bindColumn(). PDO::FETCH_CLASS | PDO::FETCH_CLASSTYPE retourner une nouvelle instance de la classe demandée, liant les colonnes aux propriétés nommées dans la classe. Nom de la classe = 1ère colonne. 01:08:01 Programmation Web 2012-2013

Modes de récupération des données (4) PDO::FETCH_INTO met à jour une instance existante de la classe demandée, liant les colonnes du jeu de résultats aux noms des propriétés de la classe. PDO::FETCH_LAZY retourner chaque ligne en tant qu'objet avec les noms des attributs correspondant aux noms des colonnes retournées dans le jeu de résultats. PDO::FETCH_LAZY crée les noms des attributs de l'objet comme ils sont rencontrés. 01:08:01 Programmation Web 2012-2013

Préparation d'une requête Déroulement d'une requête SQL Analyse Compilation Optimisation Exécution Exécution répétée d'une requête : 1+2+3+4 Préparation d'une requête : 1+2+3 Exécution répétée d'une requête préparée : 4 Préparation en fonction de paramètres : Anonymes Nommés 01:08:01 Programmation Web 2012-2013

Préparation d'une requête PDOStatement PDO::prepare(string statement [, array driver_options]) statement : la requête à préparer. Peut contenir des paramètres anonymes (?) ou nommés (:nom) driver_options : tableau d'options du driver retourne un objet PDOStatement qui effectuera l'association des paramètres et exécutera la requête $pdo=new PDO("mysql:host=localhost;dbname=mysql") ; $pdostat = $pdo->prepare( "SELECT * FROM user WHERE User= ?") ; 01:08:01 Programmation Web 2012-2013

Association des paramètres d'une requête bool PDOStatement::bindValue(mixed parameter, mixed value [, int data_type]) parameter : le paramètre (nom ou position [1…n]) value : sa valeur data_type : le type de la valeur PDO::PARAM_BOOL booléen. PDO::PARAM_NULL NULL SQL. PDO::PARAM_INT INTEGER SQL. PDO::PARAM_STR CHAR, VARCHAR ou autre chaîne. PDO::PARAM_LOB "objet large" SQL. bool PDOStatement::execute([array parameters]) parameters : tableau associatif ou indexé des valeurs 01:08:01 Programmation Web 2012-2013

Préparation puis exécution d'une requête (1) $pdo=new PDO("mysql:host=localhost;dbname=mysql") ; $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $pdostat = $pdo->prepare( "SELECT * FROM user WHERE User= ?") ; $pdostat->bindValue(1, 'root') ; $pdostat->execute() ; // Utilisation du résultat $pdostat->bindValue(1, 'cutrona') ; paramètre anonyme Association d'une valeur au 1er paramètre Exécution de la requête Exécution de la requête Préparation de la requête Association d'une valeur au 1er paramètre 01:08:01 Programmation Web 2012-2013

Préparation puis exécution d'une requête (2) $pdo=new PDO("mysql:host=localhost;dbname=mysql") ; $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $pdostat = $pdo->prepare( "SELECT * FROM user WHERE User= :utilisateur") ; $pdostat->bindValue(':utilisateur', 'root') ; $pdostat->execute() ; // Utilisation du résultat $pdostat->bindValue(':utilisateur', 'cutrona') ; paramètre nommé Association d'une valeur au paramètre nommé Exécution de la requête Exécution de la requête Préparation de la requête Association d'une valeur au paramètre nommé 01:08:01 Programmation Web 2012-2013

Préparation puis exécution d'une requête (3) $pdo=new PDO("mysql:host=localhost;dbname=mysql") ; $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $pdostat = $pdo->prepare( "SELECT * FROM user WHERE User= ?") ; $pdostat->execute(array('root')) ; // Utilisation du résultat $pdostat->execute(array('cutrona')) ; paramètre anonyme Association d'une valeur au 1er paramètre Exécution de la requête Exécution de la requête Préparation de la requête Association d'une valeur au 1er paramètre 01:08:01 Programmation Web 2012-2013

Préparation puis exécution d'une requête (4) $pdo=new PDO("mysql:host=localhost;dbname=mysql") ; $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $pdostat = $pdo->prepare( "SELECT * FROM user WHERE User= :utilisateur") ; $pdostat->execute( array(':utilisateur' => 'root')) ; // Utilisation du résultat array(':utilisateur' => 'cutrona')) ; paramètre nommé Association d'une valeur au paramètre nommé Exécution de la requête Exécution de la requête Préparation de la requête Association d'une valeur au paramètre nommé 01:08:01 Programmation Web 2012-2013

Intérêt des requêtes préparées Amélioration des performances en cas d'exécutions répétées Émulation faite par PDO si le driver ne les supporte pas nativement Protection automatique des valeurs des paramètres pour interdire les attaques par injection de code SQL 01:08:01 Programmation Web 2012-2013

Attaque par injection SQL ? Ex : validation d'un login/pass sur un site Requête consistant à trouver un enregistrement correspondant au couple login/pass fourni par l'utilisateur SELECT * FROM membre WHERE mail='{$_GET['mail']}' AND passwd='{$_GET['passwd']}' Et si on essayait de fournir un mot de passe un peu particulier… 01:08:01 Programmation Web 2012-2013

Exemple concret d'injection SQL (1) $pdo = new PDO('mysql:host=localhost;dbname=test') ; $pdostat = $pdo->query($req = <<<SQL SELECT * FROM membre WHERE mail='{$_GET['mail']}' AND passwd='{$_GET['passwd']}' SQL ) ; echo "Requête:\n$req\n" ; if ($utilisateur = $pdostat->fetch()) echo "Bienvenue {$utilisateur['nom']}" ; else echo "Désolé..." ; 01:08:01 Programmation Web 2012-2013

Exemple concret d'injection SQL (2) Saisie de l'utilisateur : mail : whatever pass : who_cares? URL : ?mail=whatever&passwd=who_cares? Requête: SELECT * FROM membre WHERE mail='whatever' AND passwd='who_cares?' Désolé... 01:08:01 Programmation Web 2012-2013

Exemple concret d'injection SQL (3) Saisie de l'utilisateur : mail : whatever pass : who_cares?' OR true!=' URL : ?mail=whatever&passwd=who_cares?'%20OR%20true!=' Requête: SELECT * FROM membre WHERE mail='whatever' AND passwd='who_cares?' OR true!='' Bienvenue John 01:08:01 Programmation Web 2012-2013

Protection contre les injections SQL (1) $pdo = new PDO('mysql:host=localhost;dbname=test') ; $pdostat = $pdo->prepare($req = <<<SQL SELECT * FROM membre WHERE mail=? AND passwd=? SQL ) ; $pdostat->execute(array($_GET['mail'], $_GET['passwd'])) ; if ($utilisateur = $pdostat->fetch()) { echo "Bienvenue {$utilisateur['nom']}\n" ; } else { echo "Désole...\n" ; } 01:08:01 Programmation Web 2012-2013

Protection contre les injections SQL (2) $pdo = new PDO('mysql:host=localhost;dbname=test') ; $mail = $pdo->quote($_GET['mail']) ; $passwd = $pdo->quote($_GET['passwd']) ; $pdostat = $pdo->query($req = <<<SQL SELECT * FROM membre WHERE mail=$mail AND passwd=$passwd SQL ) ; echo "Requête:\n$req\n" ; if ($utilisateur = $pdostat->fetch()) { echo "Bienvenue {$utilisateur['nom']}\n" ; } else { echo "Désole...\n" ; } Requête: SELECT * FROM membre WHERE mail='whatever' AND passwd='who_cares?\' OR true!=\'' Désolé... 01:08:01 Programmation Web 2012-2013

Protection contre les injections SQL (3) mysql_connect('localhost'); mysql_select_db('test'); $mail = mysql_real_escape_string($_GET['mail']); $passwd = mysql_real_escape_string($_GET['passwd']); $res = mysql_query($req = <<<SQL SELECT * FROM membre WHERE mail='$mail' AND passwd='$passwd' SQL ) ; if (mysql_num_rows($res) == 1 ) { $utilisateur = mysql_fetch_assoc($res) ; echo "Bienvenue {$utilisateur['nom']}\n" ; } else { echo "Desole...\n" ; } Requête: SELECT * FROM membre WHERE mail='whatever' AND passwd='who_cares?\' OR true!=\'' Désolé... 01:08:01 Programmation Web 2012-2013

Transactions Transactions : Mode PDO par défaut : Atomicité, Consistance, Isolation et Durabilité BEGIN puis COMMIT ou ROLLBACK Mode PDO par défaut : Chaque requête est validée automatiquement PDO::beginTransaction() PDO::commit() PDO::rollBack() Tous les moteurs ne supportent pas les transactions  PDOException 01:08:01 Programmation Web 2012-2013

Feed-back: Politique de confidentialité Feed-back
Do Not Sell My Personal Information
Notre projet: SlidePlayer Les conditions d'utilisation

© 2024 SlidePlayer.fr Inc. All rights reserved.