Stocker dans des variables php les fonctions MySql

Salut à tous,

Je suis entrain de passer mes sites en php 7.2 et je dois ré-écrire pas mal de lignes de codes php, certaines de mes anciennes requêtes MySQL sont obsolètes et il faut modifier chaque page qui fait une requête mysql.

Je me posais donc la question sur le fait de pouvoir stocker dans une variable php les principales fonctions MySQL, Est-ce une bonne pratique ? N'est-ce pas dangereux (faille de sécurité, etc...) ?

Mon code php donnerait cela :

Code:

/********** Connexion base de données ****************/
$connexion = @new mysqli($host, $login, $pass, $base);
if(mysqli_connect_errno()){echo "Impossible de se connecter à MySQL : ".mysqli_connect_error();}

/********** Fonction php connection MySql ****************/
function get_requete($requete){
  global $connexion;
  $result = $connexion->query($requete);
  return $result;
}

/********** Variables php MySql ****************/
$MysqliFetchArray = "mysqli_fetch_array";
$MysqliClose = "mysqli_close";

/********** Exemples de requête MySql ****************/
$requete = get_requete("SELECT * FROM ma_table WHERE nom LIKE '%B'");
while($voir = $MysqliFetchArray($requete))
{
echo "".$voir['nom']."<br>";
}
$MysqliClose($connexion);

Qu'en pensez-vous ?

Il suffit ensuite de modifier une seule fois les variables $MysqliFetchArray et $MysqliClose pour modifier l'ensemble des fonctions MySQL sur tout le site.

Autre question : faut-il insérer systématiquement mysqli_free_result après chaque requête MySQL, une fois que l'on a plus besoin du résultat de cette requête ?

Merci pour vos réponses.

 

Merci Spout.

Qu'entends-tu par "Semi HS" ?

Qu'est-ce que PDO apporte de plus que mysqli ?

 

Les langages de programmation, les framework sont tellement nombreux et évoluent tellement rapidement qu'il est tout simplement impossible de suivre le rythme et de tout connaitre. Quand vous êtes seul à gérer votre boite, à coder (mettre à jour le code) vos sites (une bonne dizaine), à gérer votre serveur dédié, à faire le référencement de vos sites, à gérer vos commandes, etc... vous ne pouvez pas vous tenir au courant de tout !

Pour infos, mes sites internet tournent à l'heure actuelle (encore) sous php 5.3.... et oui ça fonctionne encore avec cette vieille version de php... même si cette version de php est obsolète (ou du moins "indiqué" comme telle), on peut toujours utiliser les bonnes vieilles versions des années 2000. Pour infos, mes sites sont toujours en http et ils sont très bien référencés sous Google (ils sont devant les sites https).... comme quoi avec du très vieux on peut aussi bien qu'avec du "clinquant"

Il existe (entre autre) msqli, PDO, le php procédurale, le php orienté objet, etc... c'est sans fin, il arrive un moment ou il faut choisir et j'ai choisi msqli et le php procédurale. Comme indiqué sur ce site http://php.net/manual/fr/mysqli.quickstart.dual-interface.php "Il n'y a pas de différence significative d'un point de vue performance entre les deux interfaces. Les utilisateurs peuvent faire leur choix que d'un point de vue personnel.".

J'ai toujours codé mes sites moi-même en php, je n'utilise pas de CMS, j'utilise de temps en temps jquery qui est très utile pour certaines utilisations, sinon le code de mes sites c'est du php 100%, du javascript et du css écrit par moi même (et par Spout qui m'a sorti plus d'une épine du pied).... ce qui évite les éventuels problèmes de compatibilité entre les différentes versions php, les framework et plugins en tout genre.

J'avais réfléchis à passer mes sites sur un CMS (WordPress par exemple) ou sur Prestashop mais en fin de compte je ne pense pas que ce soit un gain de temps, ni de liberté : le codage php apporte plus de souplesse dans les projets particuliers que l'on souhaite mener (c'est en tout cas la conclusion à laquelle je suis arrivé après avoir pesé le pour et le contre de l'utilisation d'un CMS, de prestashop, etc...).

J'ai testé le script que je propose au début de ce thread et ça fonctionne parfaitement bien.

Si ça ne pose pas de problème ou de faille de sécurité particulier, je vais opter pour cette méthode.

 

Je suis entrain de voir comment traiter en php les problèmes d'injection sql via des formulaires html.

Est-ce que ces 2 codes ci-dessous sont identiques pour vous ?

Code:

foreach($_POST as $index => $valeur){$$index = mysqli_real_escape_string($connexion, $valeur);}

et

Code:

foreach($_POST as $index => $valeur){$_POST[$index] = mysqli_real_escape_string($connexion, $valeur);}

Une fois le foreach{} terminé comment insérer les valeurs des champs du formulaire dans une table MySQL afin d'éviter les injections sql ?

Peut-on utiliser les variables de notre formulaire du type $nom, $prenom, $email, etc... ce qui donnerait :

Code:

INSERT INTO ma_table (date, nom, prenom, email, message) VALUES (NOW(), '$nom', '$prenom', '$email', '$message')

ou bien comme ceci :

Code:

INSERT INTO ma_table (date, nom, prenom, email, message) VALUES (NOW(), '".$_POST['nom']."', '".$_POST['prenom']."', '".$_POST['email']."', '".$_POST['message]."') 

ou bien une autre méthode ?

 

Merci Spout.

Dans ta fonction "mysql_insert_array" les variables $keys et $values utilisent toutes les deux $inserts, il n'y a pas un truc qui déconne là ? Dans le INSERT INTO de ta fonction la variable $keys correspond aux noms des champs de la table et la variable $values aux valeurs à insérer dans ces champs, ils ne peuvent pas être identiques, non ?

 

Ah oui j'avais pas vu.

Et donc la variable $inserts sera de la sorte :

Code:

$inserts = array("nom" => "".$_POST['nom']."", "prenom" => "".$_POST['prenom']."");

 

Merci Spout je vais voir si j'arrive à faire fonctionner tes fonctions.

Connais-tu un tutoriel pour sécuriser efficacement le traitement des formulaires html contre l'injection sql, les failles XSS, etc... ?

 

Très instructif, merci Spout.