PDO - Sécuriser et gérer les bases de données en PHP

Objectifs d'apprentissage

• Maîtriser les fondamentaux de PHP Data Objects (PDO) pour interagir avec des bases de données.
• Comprendre les différentes bases de données supportées par PDO et leurs spécificités.
• Apprendre à utiliser les classes prédéfinies de PDO pour simplifier le développement.
• Savoir établir et gérer des connexions à une base de données via PDO.
• Gérer efficacement les erreurs de connexion et d'exécution des requêtes.
• Exécuter des requêtes SQL et exploiter les résultats retournés.
• Découvrir les différents modes de récupération des données (fetch, fetchAll, etc.).
• Préparer et exécuter des requêtes paramétrées pour optimiser les performances.
• Comprendre les risques d'injection SQL et les méthodes pour s'en protéger.
• Maîtriser les transactions pour garantir l'intégrité des données.

Public cible

Ce cours s'adresse aux développeurs PHP débutants ou intermédiaires souhaitant approfondir leurs connaissances en gestion de bases de données avec PDO. Il est également adapté aux professionnels cherchant à sécuriser leurs applications contre les injections SQL ou à optimiser leurs requêtes. Une connaissance de base de PHP et des concepts SQL est recommandée pour tirer pleinement profit de cette formation.

PDO

PHP Data Objects (PDO) est une extension PHP offrant une interface légère et cohérente pour accéder à différentes bases de données. Contrairement aux extensions spécifiques (comme MySQLi), PDO permet de travailler avec plusieurs systèmes de gestion de bases de données (SGBD) en utilisant les mêmes méthodes, ce qui facilite la portabilité du code.

Bases de données supportées

PDO prend en charge une large gamme de bases de données, notamment MySQL, PostgreSQL, SQLite, Oracle et Microsoft SQL Server. Chaque pilote doit être activé séparément dans la configuration PHP, mais une fois installé, PDO offre une interface unifiée pour interagir avec ces SGBD.

Classes prédéfinies

PDO fournit plusieurs classes prédéfinies, telles que PDO (pour la connexion), PDOStatement (pour les requêtes préparées) et PDOException (pour la gestion des erreurs). Ces classes simplifient les opérations courantes et standardisent les méthodes d'accès aux données.

Connexions et gestionnaire de connexion

La connexion à une base de données via PDO s'effectue en instanciant un objet PDO avec les paramètres de connexion (DSN, utilisateur, mot de passe). Le DSN (Data Source Name) spécifie le type de base de données, l'hôte et le nom de la base. Une fois connecté, PDO gère automatiquement la persistance de la connexion si nécessaire.

Gestion des erreurs de connexion

PDO propose plusieurs modes de gestion des erreurs : silencieux (par défaut), avertissement ou exception. Il est recommandé d'utiliser le mode exception (PDO::ERRMODE_EXCEPTION) pour détecter et traiter les erreurs de manière structurée. Les erreurs de connexion peuvent être capturées via des blocs try-catch.

Gestion des erreurs : code d'erreur

Chaque erreur PDO possède un code (SQLSTATE) qui permet d'identifier précisément la nature du problème. La méthode errorCode() retourne ce code, tandis que errorInfo() fournit des détails supplémentaires sous forme de tableau.

Gestion des erreurs : exceptions

En mode exception, PDO lève une PDOException en cas d'échec. Cette exception contient des informations sur l'erreur, comme le message et le code SQLSTATE. Cela permet une gestion centralisée des erreurs via des blocs try-catch, améliorant la robustesse de l'application.

Exécution d'une requête

PDO permet d'exécuter des requêtes SQL via les méthodes query() (pour les requêtes simples) et exec() (pour les requêtes ne retournant pas de résultats, comme INSERT ou UPDATE). Pour les requêtes complexes ou répétitives, les requêtes préparées sont préférables.

Exploitation des résultats d'une requête

Les résultats d'une requête peuvent être récupérés via des méthodes comme fetch() (ligne par ligne) ou fetchAll() (toutes les lignes). PDO supporte plusieurs styles de récupération (tableau associatif, objet, etc.) définis via des constantes comme PDO::FETCH_ASSOC.

Modes de récupération des données

PDO offre plusieurs modes pour récupérer les données : FETCH_ASSOC (tableau associatif), FETCH_OBJ (objet anonyme), FETCH_CLASS (mappage vers une classe) et FETCH_COLUMN (une seule colonne). Le choix dépend des besoins de l'application et de la structure des données.

Préparation d'une requête

Les requêtes préparées améliorent les performances et la sécurité en séparant la requête SQL des paramètres. La méthode prepare() crée un objet PDOStatement qui peut être exécuté plusieurs fois avec des paramètres différents, réduisant ainsi la charge du SGBD.

Association des paramètres d'une requête

Les paramètres d'une requête préparée peuvent être associés via bindParam() (liaison par référence) ou bindValue() (liaison par valeur). Ils peuvent être nommés (:nom) ou positionnels (?), selon la syntaxe utilisée dans la requête.

Préparation puis exécution d'une requête

Une fois préparée, une requête est exécutée via execute(), qui accepte un tableau de paramètres. Cette approche est plus sûre que la concaténation de chaînes, car elle prévient les injections SQL tout en optimisant les performances pour les requêtes répétitives.

Intérêt des requêtes préparées

Les requêtes préparées offrent trois avantages majeurs : sécurité (protection contre les injections SQL), performance (plan d'exécution réutilisable) et commodité (gestion simplifiée des paramètres). Elles sont indispensables pour les applications critiques.

Attaque par injection SQL ?

Une injection SQL consiste à injecter du code malveillant dans une requête via des paramètres non filtrés. Cela peut permettre à un attaquant de lire, modifier ou supprimer des données. Les requêtes dynamiques concaténées sont particulièrement vulnérables.

Exemple concret d'injection SQL

Si une application construit une requête comme "SELECT * FROM users WHERE login = '" . $_POST['login'] . "'", un attaquant peut injecter ' OR '1'='1 pour accéder à tous les comptes. PDO élimine ce risque via les requêtes préparées.

Protection contre les injections SQL

PDO protège contre les injections en échappant automatiquement les paramètres des requêtes préparées. Aucune validation manuelle n'est nécessaire, à condition d'utiliser prepare() et execute() correctement. Évitez absolument query() avec des entrées utilisateur.

Transactions

PDO supporte les transactions via beginTransaction(), commit() et rollBack(). Une transaction permet d'exécuter plusieurs requêtes de manière atomique : si une échoue, toutes sont annulées. Ceci est crucial pour maintenir la cohérence des données.