<?php
function random($car) {
$string = "";
$chaine = "abcdefghijklmnpqrstuvwxyABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";
srand((double)microtime()*1000000);
for($i=0; $i<$car; $i++) {
$string .= $chaine[rand()%strlen($chaine)];
}
return $string;
}

// Fonction
?>

<?php
$folder = random(10);
$file = random(10);
$name = $_FILES['avatar']['name'];
$date = date('h:i:s');
?>


<?php
mkdir($folder);
?>

<?php
try
{
	$bdd = new PDO('mysql:host=privee;dbname=privee;charset=utf8', 'privee', 'privee');
}
catch (Exception $e)
{
        die('Erreur : ' . $e->getMessage());
}
?>



<?php
if(isset($_FILES['avatar']))
{ 
     $dossier = $folder .'/';
     $fichier = basename($_FILES['avatar']['name']);
     if(move_uploaded_file($_FILES['avatar']['tmp_name'], $dossier . $fichier)) //Si la fonction renvoie TRUE, c'est que ça a fonctionné...
     {
          $status = true;
     }
     else //Sinon (la fonction renvoie FALSE).
     {
         $status = false;
     }
}
?>

<?php
$bdd->exec('INSERT INTO upload (Name, File, Date, Folder, status) VALUES(' .$name .',' .$file .',' .$date .',' .$folder .',' .$status .')');
print_r($bdd->errorInfo());
?>

print_r($bdd->errorInfo());

Lut,

Je constate une petite erreur de débutant qui ouvre une faille XSS faille qui permet de faire une injection SQL et rend la requête successible aux erreurs de syntaxe SQL. L'erreur est la manière d'exécuter. Bon, je ne vais pas te taper dessus mais je vais te donner un petit bout de code pour correctement exécuter la requête.

$bdd = new PDO('...', '...', '...');
$requete = $bdd->prepare('Ma requête SQL');
$requete->execute(['Mes', 'paramètres'])

Si tu veux plus d'informations, je te conseille de voir la documentation.

-
Edité par lapin-math 26 mars 2017 à 20:23:34

-
Edité par 360matt 26 mars 2017 à 20:32:33

Je reprends, avec des mots un peu plus simples.

La concaténation effectuée pour construire la requête SQL est vulnérable à une faille appelée injection SQL (pas XSS, où est-ce que j'avais ma tête ?). De plus, cette technique expose la requête aux erreurs de syntaxe à cause du fait que les données peuvent contenir une apostrophe (délimiteur de chaîne de caractères en SQL). Alors, pour pallier cela, je propose que l'on change ta technique de construire la requête par

// $bdd est une instance de PDO
// Préparer la requête
$requete = $bdd->prepare('INSERT INTO une_table(un, champ, de_table) VALUES(?, ?, ?)');

// Exécuter la requête
$requete->execute(['une', 'valeur', "avec l'apostrophe qui casse tout"]);

Cette technique permet non seulement de pallier la faille d'injection SQL en plus d'éviter les erreurs de syntaxe SQL parce qu'il y a un apostrophe.

J'espère avoir été plus clair pour le coup.

-
Edité par 360matt 26 mars 2017 à 20:46:51

Tout d'abord, je prépare la requête (on dit comme ça) en appelant $bdd->prepare(...) avec des ?, dans la requête, qui seront remplacés par les valeurs correspondantes plus tard.

Le résultat est un objet de type PDOStatement. Pour exécuter la requête, on fait appel à $requete->execute(...) en lui passant un tableau. Les valeurs de ce tableau remplaceront les ?. Le résultat renvoyé est un booléen; true si la requête a bien été exécutée, false sinon (ou encore une exception si tu l'a paramétré ainsi).

Si t'as besoin de clarifications, je t'invite à consulter la doc, le cours, ou bien de me demander

S&lut,

je complète l'explication de lapin-math:

• Préfère les marqueurs nommés (:toto) plutôt qu'anonymes (?) car tu peux les binder dans n'importe quel ordre,
• Préfère le PDOStatement::bindvalue() /PDOStatement::bindParam() au passage de tableau dans PDOStatement::execute(),
• Vérifie le nombre de lignes affectées avec PDOStatement::rowCount() su un INSERT/UPDATE/DELETE

++

tu peux me redire stp ?

J'ai pas compris

360matt a écrit:

tu peux me redire stp ?

J'ai pas compris