J'ai un script php qui contient de nombreuses fonctions mysql sans connexion à la base de données, et pour des raisons de sécurité pour empêcher l'injection SQl, je voudrais remplacer ces fonctions mysql par des fonctions pdo.Quel est l'équivalent de ces fonctions mysql dans pdo?
$e = mysql_real_escape_string($l);
$query = "SELECT * FROM users";
$result = mysql_query($query);
$row = mysql_fetch_assoc($result)
$query = "SELECT * FROM users WHERE (first_name='" . $f_name . "' AND last_name='" . $l_name . "') OR (email = '" . $email . "')";
$result = mysql_query($query);
$row = mysql_fetch_assoc($result);
$insert = "INSERT INTO users(`email`, `first_name`, `last_name`, `created_at`, `modified_at`) VALUES ('{$email}', '{$f_name}', '{$l_name}','" . date('Y-m-d H:i:s') . "','" . date('Y-m-d H:i:s') . "');";
$update = "UPDATE users SET `is_user`=1 WHERE user_id=" . $user_id;
mysql_query($insert) or die(mysql_error());
mysql_query($update) or die(mysql_error());
Que voulez-vous dire par _opposite_? – TGrif
PDO en lui-même ne protège pas plus que d'autres API - vous avez besoin de lier les variables pour se protéger contre les attaques, et d'autres API offrent cela aussi. Cela étant dit, ce n'est pas un service de conversion de code - lisez le manuel de ['PDO :: prepare()'] (http://php.net/pdo.prepare) et ['PDOStatement :: bindParam() '] (http://php.net/pdostatement.bindparam) pour commencer. – Qirel
Voulez-vous dire l'équivalent de ces fonctions? – the4kman