Bonjour,

En fait, suite au topic dont j'ai fais tantôt, une autre petite question me vient a la tete. En effet, pourquoi je vois parfois des requêtes sql de ce genre : (SELECT * FROM users WHERE username='$username' AND password='$password')

et dans d'autres cas je vois des requetes de ce type: ('SELECT * FROM users WHERE username=\.$username.'\' AND password=\.$password.'\'')

C'est quoi la différence entre ces deux requêtes.

Merci de vos réponses

Sur le net on me dit que la première c'est mysql tandis que la deuxième c'est PDO mais je ne suis pas vraiment sur, quelqu'un peut me confirmer?

De mémoire, les simples quote ( ' ) interprètent les variables.
Partant de là, les deux seraient similaires, juste que la construction est plus explicite dans le second cas.

Ps : penser à passer aux requêtes préparées qui évitent les injections SQL.

Les deux sont fausses en fait.
La première n'est pas entourée de guillemets (donc ce n'est pas considéré comme une chaine de caractères et ça va te créer une erreur).
La seconde insère mal les variables autour des variables php.

Voilà trois manières de procéder :

$username = "user";
$password = "pwd";

$query = "SELECT * FROM users WHERE username='$username' AND password='$password'";
echo $query;
$query = "SELECT * FROM users WHERE username='".$username."' AND password='".$password."'";
echo $query;
$query = 'SELECT * FROM users WHERE username=\''.$username.'\' AND password='\'.$password.'\'';
echo $query;

/* Resultat
 * SELECT * FROM users WHERE username='user' AND password='pwd'
 * SELECT * FROM users WHERE username='user' AND password='pwd'
 * SELECT * FROM users WHERE username='user' AND password='pwd'
 */ 

// Exemple d'utilisation
$query = "SELECT * FROM users WHERE username='$username' AND password='$password'";
$reponse = $bdd->query($query);

Pour ce que tu nommes mysql et PDO, ce sont des "fonctions" que tu utilises pour exécuter les requêtes. Elles n'influent pas sur la syntaxe de la requête SQL. Tu utilisais PDO dans ton code source d'hier (et c'est bien).

Mais est ce vrai que la seconde protégé contre les injections sql?

Merci Chocolayte pour la rectification

Et de ce que je vois des sorties : non, aucune n'est protégée contre une injection SQL. Voir ma remarque sur les requêtes préparées.

Je l'ignorais, pour les injections, merci pour l'info. J'avais toujours considéré prepare() comme inutiles.

Mais pourquoi quand j'utilisé la première requête que Chocolayte à montré, ça me dit qu'il y a un problème de quote

Celle du 'SELECT * FROM user WHERE username='$username' AND password='$password''

Tu commences par un simple quote et finis pas un double, du coup commence par un double quote

Le 14 septembre 2015 à 18:05:22 Candystand a écrit :
Tu commences par un simple quote et finis pas un double, du coup commence par un double quote

Il finit par deux simples quotes (une finit pour la variable password, et une pour la requête entière). Pour encadrer toute ta requête, privilégie l'utilisation des doubles quotes. Il me semble que PHP va interpreter de la première quote à la suivante. Pour l'ordinateur ta "phrase" est : "SELECT * FROM user WHERE username=" car après, il retrouve le caractère avec lequel tu as commencé l'instruction.

Faut faire attention aux simples guillemets et aux doubles, le comportement n'est pas le même. C'est pour ça que je t'ai montré trois exemples différents (qui fonctionnent tous, si tu les recopies correctement). =)

Et surtout, prepared statement bowdel!

+1
Bien utilisée, bien entendu.

Je dirais que celle avec des \" c'est du sql dans du C/C++ voir C#.