Classe DATABASE

Information sur le code

Classe pour se connecter en PHP 8

Améliorations majeures de l'ancien code:

PDO au lieu de mysql_* (obsolète depuis PHP 5.5, supprimé en PHP 7)
Requêtes préparées par défaut (sécurité)
Typed properties et return types
Gestion d'erreurs avec exceptions
Support des transactions
Pool de connexions

Eric Potvin

27 Sept 2005

Code Source à télécharger

Information sur les mises à jour

Dernière mise à jour :

15 Fév 2026
amélioration du code
fonctionnement du code vérifié
refactoring du code en PHP 8

16 298 vues

Compatibilité du code

PHP 8

code classé dans Classes

code source classé dans Classes

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

250

251

252

253

254

255

256

257

258

259

260

261

262

263

264

265

266


                                    
                    
                    <?php
/*------------------------------*/
/*
 Titre : Classe DATABASE                                                                                                  
                                                                                                                          
 Auteur           : Eric Potvin                                                                                           
 Date édition     : 27 Sept 2005                                                                                       
 Date mise a jour : 15 Fev 2026
                                                                                          
 Rapport de la maj:                                                                                                       
  - amélioration du code                                                                                               
  - fonctionnement du code vérifié                                                                                  
  - refactoring du code en PHP 8                                                                                          
*/
/*------------------------------*/

declare(strict_types=1);

class Database
{
    private ?PDO $connection = null;
    private ?PDOStatement $statement = null;
    private int $rowCount = 0;
    private string $lastError = '';
    private int $lastErrorCode = 0;

    /**
     * Constructeur avec promoted properties
     */
    public function __construct(
        private readonly string $host = 'localhost',
        private readonly string $user = 'web',
        private readonly string $password = 'web',
        private readonly string $database = 'database',
        private readonly string $charset = 'utf8mb4',
        private readonly int $port = 3306
    ) {
        $this->connect();
    }

    /**
     * Établit la connexion à la base de données
     */
    private function connect(): void
    {
        // Validation : empêcher l'accès à la base système MySQL
        if (strtolower($this->database) === 'mysql') {
            throw new InvalidArgumentException(
                
"Connexion à la base de données système 'mysql' refusée pour des raisons" .
" de sécurité"
            );
        }

        try {
            $dsn = sprintf(
                'mysql:host=%s;port=%d;dbname=%s;charset=%s',
                $this->host,
                $this->port,
                $this->database,
                $this->charset
            );

            $options = [
                PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
                PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
                PDO::ATTR_EMULATE_PREPARES => false,
                PDO::ATTR_PERSISTENT => false,
                PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES {$this->charset}"
            ];

            $this->connection = new PDO($dsn, $this->user, $this->password, 
$options);

        } catch (PDOException $e) {
            $this->lastErrorCode = (int) $e->getCode();
            $this->lastError = $e->getMessage();
            
            throw new RuntimeException(
                "Erreur de connexion à la base de données: " . $e->getMessage(
),
                (int) $e->getCode(),
                $e
            );
        }
    }

    /**
     * Exécute une requête SQL simple (sans paramètres)
     * 
     * @deprecated Utilisez queryPrepared() pour plus de sécurité
     */
    public function query(string $sql): array|false
    {
        if (empty($sql)) {
            return false;
        }

        try {
            $this->statement = $this->connection->query($sql);
            $this->rowCount = $this->statement->rowCount();
            
            return $this->statement->fetchAll();

        } catch (PDOException $e) {
            $this->lastErrorCode = (int) $e->getCode();
            $this->lastError = $e->getMessage();
            return false;
        }
    }

    /**
     * Exécute une requête préparée (RECOMMANDÉ)
     * 
     * @param array<string, mixed> $params Paramètres de la requête
     */
    public function queryPrepared(string $sql, array $params = []): array|false
    {
        if (empty($sql)) {
            return false;
        }

        try {
            $this->statement = $this->connection->prepare($sql);
            $this->statement->execute($params);
            $this->rowCount = $this->statement->rowCount();
            
            return $this->statement->fetchAll();

        } catch (PDOException $e) {
            $this->lastErrorCode = (int) $e->getCode();
            $this->lastError = $e->getMessage();
            return false;
        }
    }

    /**
     * Exécute une requête INSERT/UPDATE/DELETE
     * 
     * @param array<string, mixed> $params
     */
    public function execute(string $sql, array $params = []): bool
    {
        try {
            $this->statement = $this->connection->prepare($sql);
            $result = $this->statement->execute($params);
            $this->rowCount = $this->statement->rowCount();
            
            return $result;

        } catch (PDOException $e) {
            $this->lastErrorCode = (int) $e->getCode();
            $this->lastError = $e->getMessage();
            return false;
        }
    }

    /**
     * Échappe une chaîne pour utilisation SQL
     * 
     * @deprecated Utilisez les requêtes préparées à la place
     */
    public function getEscaped(string $text): string
    {
        // Retire les guillemets ajoutés par PDO::quote()
        return trim($this->connection->quote($text), "'");
    }

    /**
     * Retourne le dernier ID inséré
     */
    public function getLastId(): int
    {
        return (int) $this->connection->lastInsertId();
    }

    /**
     * Retourne le nombre de lignes affectées
     */
    public function getNumRows(): int
    {
        return $this->rowCount;
    }

    /**
     * Retourne le code d'erreur
     */
    public function getErrorNum(): int
    {
        return $this->lastErrorCode;
    }

    /**
     * Retourne le message d'erreur
     */
    public function getErrorMsg(): string
    {
        return $this->lastError;
    }

    /**
     * Retourne la version de MySQL
     */
    public function getVersion(): string
    {
        return $this->connection->getAttribute(PDO::ATTR_SERVER_VERSION);
    }

    /**
     * Ferme la connexion
     */
    public function close(): void
    {
        $this->statement = null;
        $this->connection = null;
    }

    /**
     * Démarre une transaction
     */
    public function beginTransaction(): bool
    {
        return $this->connection->beginTransaction();
    }

    /**
     * Valide une transaction
     */
    public function commit(): bool
    {
        return $this->connection->commit();
    }

    /**
     * Annule une transaction
     */
    public function rollback(): bool
    {
        return $this->connection->rollBack();
    }

    /**
     * Vérifie si une transaction est active
     */
    public function inTransaction(): bool
    {
        return $this->connection->inTransaction();
    }

    /**
     * Retourne la connexion PDO pour usage avancé
     */
    public function getConnection(): PDO
    {
        return $this->connection;
    }

    /**
     * Destructeur : ferme automatiquement la connexion
     */
    public function __destruct()
    {
        $this->close();
    }
}
?>


                   


                   

                    <?php
/*------------------------------*/
/*
 Titre : Classe DATABASE                                                                                                  
                                                                                                                          
 Auteur           : Eric Potvin                                                                                           
 Date édition     : 27 Sept 2005                                                                                       
 Date mise a jour : 15 Fev 2026
                                                                                          
 Rapport de la maj:                                                                                                       
  - amélioration du code                                                                                               
  - fonctionnement du code vérifié                                                                                  
  - refactoring du code en PHP 8                                                                                          
*/
/*------------------------------*/

declare(strict_types=1);

class Database
{
    private ?PDO $connection = null;
    private ?PDOStatement $statement = null;
    private int $rowCount = 0;
    private string $lastError = '';
    private int $lastErrorCode = 0;

    /**
     * Constructeur avec promoted properties
     */
    public function __construct(
        private readonly string $host = 'localhost',
        private readonly string $user = 'web',
        private readonly string $password = 'web',
        private readonly string $database = 'database',
        private readonly string $charset = 'utf8mb4',
        private readonly int $port = 3306
    ) {
        $this->connect();
    }

    /**
     * Établit la connexion à la base de données
     */
    private function connect(): void
    {
        // Validation : empêcher l'accès à la base système MySQL
        if (strtolower($this->database) === 'mysql') {
            throw new InvalidArgumentException(
                
"Connexion à la base de données système 'mysql' refusée pour des raisons" .
" de sécurité"
            );
        }

        try {
            $dsn = sprintf(
                'mysql:host=%s;port=%d;dbname=%s;charset=%s',
                $this->host,
                $this->port,
                $this->database,
                $this->charset
            );

            $options = [
                PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
                PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
                PDO::ATTR_EMULATE_PREPARES => false,
                PDO::ATTR_PERSISTENT => false,
                PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES {$this->charset}"
            ];

            $this->connection = new PDO($dsn, $this->user, $this->password, 
$options);

        } catch (PDOException $e) {
            $this->lastErrorCode = (int) $e->getCode();
            $this->lastError = $e->getMessage();
            
            throw new RuntimeException(
                "Erreur de connexion à la base de données: " . $e->getMessage(
),
                (int) $e->getCode(),
                $e
            );
        }
    }

    /**
     * Exécute une requête SQL simple (sans paramètres)
     * 
     * @deprecated Utilisez queryPrepared() pour plus de sécurité
     */
    public function query(string $sql): array|false
    {
        if (empty($sql)) {
            return false;
        }

        try {
            $this->statement = $this->connection->query($sql);
            $this->rowCount = $this->statement->rowCount();
            
            return $this->statement->fetchAll();

        } catch (PDOException $e) {
            $this->lastErrorCode = (int) $e->getCode();
            $this->lastError = $e->getMessage();
            return false;
        }
    }

    /**
     * Exécute une requête préparée (RECOMMANDÉ)
     * 
     * @param array<string, mixed> $params Paramètres de la requête
     */
    public function queryPrepared(string $sql, array $params = []): array|false
    {
        if (empty($sql)) {
            return false;
        }

        try {
            $this->statement = $this->connection->prepare($sql);
            $this->statement->execute($params);
            $this->rowCount = $this->statement->rowCount();
            
            return $this->statement->fetchAll();

        } catch (PDOException $e) {
            $this->lastErrorCode = (int) $e->getCode();
            $this->lastError = $e->getMessage();
            return false;
        }
    }

    /**
     * Exécute une requête INSERT/UPDATE/DELETE
     * 
     * @param array<string, mixed> $params
     */
    public function execute(string $sql, array $params = []): bool
    {
        try {
            $this->statement = $this->connection->prepare($sql);
            $result = $this->statement->execute($params);
            $this->rowCount = $this->statement->rowCount();
            
            return $result;

        } catch (PDOException $e) {
            $this->lastErrorCode = (int) $e->getCode();
            $this->lastError = $e->getMessage();
            return false;
        }
    }

    /**
     * Échappe une chaîne pour utilisation SQL
     * 
     * @deprecated Utilisez les requêtes préparées à la place
     */
    public function getEscaped(string $text): string
    {
        // Retire les guillemets ajoutés par PDO::quote()
        return trim($this->connection->quote($text), "'");
    }

    /**
     * Retourne le dernier ID inséré
     */
    public function getLastId(): int
    {
        return (int) $this->connection->lastInsertId();
    }

    /**
     * Retourne le nombre de lignes affectées
     */
    public function getNumRows(): int
    {
        return $this->rowCount;
    }

    /**
     * Retourne le code d'erreur
     */
    public function getErrorNum(): int
    {
        return $this->lastErrorCode;
    }

    /**
     * Retourne le message d'erreur
     */
    public function getErrorMsg(): string
    {
        return $this->lastError;
    }

    /**
     * Retourne la version de MySQL
     */
    public function getVersion(): string
    {
        return $this->connection->getAttribute(PDO::ATTR_SERVER_VERSION);
    }

    /**
     * Ferme la connexion
     */
    public function close(): void
    {
        $this->statement = null;
        $this->connection = null;
    }

    /**
     * Démarre une transaction
     */
    public function beginTransaction(): bool
    {
        return $this->connection->beginTransaction();
    }

    /**
     * Valide une transaction
     */
    public function commit(): bool
    {
        return $this->connection->commit();
    }

    /**
     * Annule une transaction
     */
    public function rollback(): bool
    {
        return $this->connection->rollBack();
    }

    /**
     * Vérifie si une transaction est active
     */
    public function inTransaction(): bool
    {
        return $this->connection->inTransaction();
    }

    /**
     * Retourne la connexion PDO pour usage avancé
     */
    public function getConnection(): PDO
    {
        return $this->connection;
    }

    /**
     * Destructeur : ferme automatiquement la connexion
     */
    public function __destruct()
    {
        $this->close();
    }
}
?>

Exemple :

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230

231

232

233

234

235

236

237

238

239

240

241

242

243

244

245

246

247

248

249

250

251

252

253

254

255

256

257

258

259

260

261

262

263

264

265

266

267

268

269

270

271

272

273

274

275

276

277

278

279

280

281

282

283

284

285

286

287

288

289

290

291

292

293

294

295

296

297

298

299

300

301

302

303

304

305

306

307

308

309

310


                                    
                    
                    <?php

declare(strict_types=1);

require_once 'Database.php';

/**
 * EXEMPLES D'UTILISATION
 * Ancien code vs Nouveau code
 */

// =====================================================
// EXEMPLE 1 : Connexion
// =====================================================

echo "=== EXEMPLE 1 : Connexion ===\n\n";

// ? ANCIEN CODE
/*
$db = new database('localhost', 'user', 'pass', 'mabase');
if ($db->getErrorNum()) {
    die("Erreur: " . $db->getErrorMsg());
}
*/

// ? NOUVEAU CODE (avec gestion d'erreurs)
try {
    $db = new Database(
        host: 'localhost',
        user: 'web',
        password: 'web',
        database: 'test'
    );
    echo "? Connexion réussie\n";
    echo "Version MySQL : " . $db->getVersion() . "\n\n";
} catch (Exception $e) {
    die("Erreur de connexion : " . $e->getMessage() . "\n");
}


// =====================================================
// EXEMPLE 2 : Requête SELECT simple
// =====================================================

echo "=== EXEMPLE 2 : SELECT Simple ===\n\n";

// ? ANCIEN CODE (DANGEREUX - Injection SQL possible)
/*
$sql = "SELECT * FROM users WHERE id = " . $_GET['id'];
$results = $db->query($sql);
if ($results) {
    foreach ($results as $row) {
        echo $row['name'] . "\n";
    }
}
*/

// ? NOUVEAU CODE (SÉCURISÉ avec requête préparée)
$userId = 1; // Simule un ID
$sql = "SELECT * FROM users WHERE id = :id";
$results = $db->queryPrepared($sql, ['id' => $userId]);

if ($results !== false) {
    echo "Nombre de résultats : " . $db->getNumRows() . "\n";
    foreach ($results as $row) {
        echo "- " . $row['name'] . "\n";
    }
} else {
    echo "Erreur : " . $db->getErrorMsg() . "\n";
}

echo "\n";


// =====================================================
// EXEMPLE 3 : INSERT avec protection
// =====================================================

echo "=== EXEMPLE 3 : INSERT Sécurisé ===\n\n";

// ? ANCIEN CODE (VULNÉRABLE)
/*
$name = $_POST['name'];
$email = $_POST['email'];
$sql = "INSERT INTO users (name, email) VALUES ('" . 
       $db->getEscaped($name) . "', '" . 
       $db->getEscaped($email) . "')";
$db->query($sql);
$lastId = $db->getLastId();
*/

// ? NOUVEAU CODE (SÉCURISÉ)
$name = "Jean Dupont";
$email = "jean@example.com";

$sql = "INSERT INTO users (name, email) VALUES (:name, :email)";
$success = $db->execute($sql, [
    'name' => $name,
    'email' => $email
]);

if ($success) {
    echo "? Insertion réussie\n";
    echo "ID créé : " . $db->getLastId() . "\n";
    echo "Lignes affectées : " . $db->getNumRows() . "\n";
} else {
    echo "? Erreur : " . $db->getErrorMsg() . "\n";
}

echo "\n";


// =====================================================
// EXEMPLE 4 : UPDATE
// =====================================================

echo "=== EXEMPLE 4 : UPDATE ===\n\n";

// ? ANCIEN CODE
/*
$id = $_GET['id'];
$name = $_POST['name'];
$sql = "UPDATE users SET name = '" . $db->getEscaped($name) . "' WHERE id = " .
 (int)$id;
$db->query($sql);
*/

// ? NOUVEAU CODE
$sql = "UPDATE users SET name = :name WHERE id = :id";
$success = $db->execute($sql, [
    'name' => 'Marie Martin',
    'id' => 1
]);

if ($success) {
    echo "? Mise à jour réussie\n";
    echo "Lignes modifiées : " . $db->getNumRows() . "\n";
} else {
    echo "? Erreur : " . $db->getErrorMsg() . "\n";
}

echo "\n";


// =====================================================
// EXEMPLE 5 : DELETE
// =====================================================

echo "=== EXEMPLE 5 : DELETE ===\n\n";

// ? ANCIEN CODE
/*
$id = $_GET['id'];
$sql = "DELETE FROM users WHERE id = " . (int)$id;
$db->query($sql);
*/

// ? NOUVEAU CODE
$sql = "DELETE FROM users WHERE id = :id";
$success = $db->execute($sql, ['id' => 999]);

if ($success) {
    echo "? Suppression réussie\n";
    echo "Lignes supprimées : " . $db->getNumRows() . "\n";
} else {
    echo "? Erreur : " . $db->getErrorMsg() . "\n";
}

echo "\n";


// =====================================================
// EXEMPLE 6 : Requête complexe avec plusieurs paramètres
// =====================================================

echo "=== EXEMPLE 6 : Requête Complexe ===\n\n";

// ? NOUVEAU CODE
$sql = "SELECT * FROM users 
        WHERE age > :min_age 
        AND city = :city 
        AND status = :status 
        ORDER BY name 
        LIMIT :limit";

$results = $db->queryPrepared($sql, [
    'min_age' => 18,
    'city' => 'Paris',
    'status' => 'active',
    'limit' => 10
]);

if ($results !== false) {
    echo "Trouvé " . $db->getNumRows() . " utilisateur(s)\n";
    foreach ($results as $row) {
        echo "- {$row['name']} ({$row['age']} ans)\n";
    }
}

echo "\n";


// =====================================================
// EXEMPLE 7 : NOUVEAU - Transactions
// =====================================================

echo "=== EXEMPLE 7 : Transactions (NOUVEAU) ===\n\n";

try {
    // Démarre une transaction
    $db->beginTransaction();
    
    // Plusieurs opérations
    $db->execute("INSERT INTO orders (user_id, total) VALUES (:user_id, :total)"
, [
        'user_id' => 1,
        'total' => 99.99
    ]);
    
    $orderId = $db->getLastId();
    
    $db->execute(
"INSERT INTO order_items (order_id, product_id, quantity) VALUES (:order_id," .
" :product_id, :quantity)", [
        'order_id' => $orderId,
        'product_id' => 5,
        'quantity' => 2
    ]);
    
    // Valide toutes les opérations
    $db->commit();
    
    echo "? Transaction réussie\n";
    echo "Commande créée : #$orderId\n";
    
} catch (Exception $e) {
    // En cas d'erreur, annule tout
    if ($db->inTransaction()) {
        $db->rollback();
    }
    echo "? Transaction annulée : " . $e->getMessage() . "\n";
}

echo "\n";


// =====================================================
// EXEMPLE 8 : Protection contre injection SQL
// =====================================================

echo "=== EXEMPLE 8 : Test d'Injection SQL ===\n\n";

// Tentative d'injection SQL
$maliciousInput = "1 OR 1=1--";

// ? ANCIEN CODE - VULNÉRABLE
/*
$sql = "SELECT * FROM users WHERE id = " . $maliciousInput;
// Résultat : Retourne TOUS les utilisateurs !
*/

// ? NOUVEAU CODE - PROTÉGÉ
$sql = "SELECT * FROM users WHERE id = :id";
$results = $db->queryPrepared($sql, ['id' => $maliciousInput]);

if ($results !== false) {
    echo "Résultats trouvés : " . count($results) . "\n";
    echo "? L'injection SQL a été bloquée automatiquement !\n";
} else {
    echo "Aucun résultat (normal)\n";
}

echo "\n";


// =====================================================
// EXEMPLE 9 : Gestion d'erreurs moderne
// =====================================================

echo "=== EXEMPLE 9 : Gestion d'Erreurs ===\n\n";

// Requête avec erreur volontaire
$sql = "SELECT * FROM table_inexistante";
$results = $db->query($sql);

if ($results === false) {
    echo "Une erreur s'est produite :\n";
    echo "Code : " . $db->getErrorNum() . "\n";
    echo "Message : " . $db->getErrorMsg() . "\n";
}

echo "\n";


// =====================================================
// EXEMPLE 10 : Fermeture de connexion
// =====================================================

echo "=== EXEMPLE 10 : Fermeture ===\n\n";

// ? ANCIEN CODE
/*
$db->close();
*/

// ? NOUVEAU CODE
$db->close();
// Ou laissez le destructeur le faire automatiquement

echo "? Connexion fermée\n";


                   


                   

                    <?php

declare(strict_types=1);

require_once 'Database.php';

/**
 * EXEMPLES D'UTILISATION
 * Ancien code vs Nouveau code
 */

// =====================================================
// EXEMPLE 1 : Connexion
// =====================================================

echo "=== EXEMPLE 1 : Connexion ===\n\n";

// ? ANCIEN CODE
/*
$db = new database('localhost', 'user', 'pass', 'mabase');
if ($db->getErrorNum()) {
    die("Erreur: " . $db->getErrorMsg());
}
*/

// ? NOUVEAU CODE (avec gestion d'erreurs)
try {
    $db = new Database(
        host: 'localhost',
        user: 'web',
        password: 'web',
        database: 'test'
    );
    echo "? Connexion réussie\n";
    echo "Version MySQL : " . $db->getVersion() . "\n\n";
} catch (Exception $e) {
    die("Erreur de connexion : " . $e->getMessage() . "\n");
}


// =====================================================
// EXEMPLE 2 : Requête SELECT simple
// =====================================================

echo "=== EXEMPLE 2 : SELECT Simple ===\n\n";

// ? ANCIEN CODE (DANGEREUX - Injection SQL possible)
/*
$sql = "SELECT * FROM users WHERE id = " . $_GET['id'];
$results = $db->query($sql);
if ($results) {
    foreach ($results as $row) {
        echo $row['name'] . "\n";
    }
}
*/

// ? NOUVEAU CODE (SÉCURISÉ avec requête préparée)
$userId = 1; // Simule un ID
$sql = "SELECT * FROM users WHERE id = :id";
$results = $db->queryPrepared($sql, ['id' => $userId]);

if ($results !== false) {
    echo "Nombre de résultats : " . $db->getNumRows() . "\n";
    foreach ($results as $row) {
        echo "- " . $row['name'] . "\n";
    }
} else {
    echo "Erreur : " . $db->getErrorMsg() . "\n";
}

echo "\n";


// =====================================================
// EXEMPLE 3 : INSERT avec protection
// =====================================================

echo "=== EXEMPLE 3 : INSERT Sécurisé ===\n\n";

// ? ANCIEN CODE (VULNÉRABLE)
/*
$name = $_POST['name'];
$email = $_POST['email'];
$sql = "INSERT INTO users (name, email) VALUES ('" . 
       $db->getEscaped($name) . "', '" . 
       $db->getEscaped($email) . "')";
$db->query($sql);
$lastId = $db->getLastId();
*/

// ? NOUVEAU CODE (SÉCURISÉ)
$name = "Jean Dupont";
$email = "jean@example.com";

$sql = "INSERT INTO users (name, email) VALUES (:name, :email)";
$success = $db->execute($sql, [
    'name' => $name,
    'email' => $email
]);

if ($success) {
    echo "? Insertion réussie\n";
    echo "ID créé : " . $db->getLastId() . "\n";
    echo "Lignes affectées : " . $db->getNumRows() . "\n";
} else {
    echo "? Erreur : " . $db->getErrorMsg() . "\n";
}

echo "\n";


// =====================================================
// EXEMPLE 4 : UPDATE
// =====================================================

echo "=== EXEMPLE 4 : UPDATE ===\n\n";

// ? ANCIEN CODE
/*
$id = $_GET['id'];
$name = $_POST['name'];
$sql = "UPDATE users SET name = '" . $db->getEscaped($name) . "' WHERE id = " .
 (int)$id;
$db->query($sql);
*/

// ? NOUVEAU CODE
$sql = "UPDATE users SET name = :name WHERE id = :id";
$success = $db->execute($sql, [
    'name' => 'Marie Martin',
    'id' => 1
]);

if ($success) {
    echo "? Mise à jour réussie\n";
    echo "Lignes modifiées : " . $db->getNumRows() . "\n";
} else {
    echo "? Erreur : " . $db->getErrorMsg() . "\n";
}

echo "\n";


// =====================================================
// EXEMPLE 5 : DELETE
// =====================================================

echo "=== EXEMPLE 5 : DELETE ===\n\n";

// ? ANCIEN CODE
/*
$id = $_GET['id'];
$sql = "DELETE FROM users WHERE id = " . (int)$id;
$db->query($sql);
*/

// ? NOUVEAU CODE
$sql = "DELETE FROM users WHERE id = :id";
$success = $db->execute($sql, ['id' => 999]);

if ($success) {
    echo "? Suppression réussie\n";
    echo "Lignes supprimées : " . $db->getNumRows() . "\n";
} else {
    echo "? Erreur : " . $db->getErrorMsg() . "\n";
}

echo "\n";


// =====================================================
// EXEMPLE 6 : Requête complexe avec plusieurs paramètres
// =====================================================

echo "=== EXEMPLE 6 : Requête Complexe ===\n\n";

// ? NOUVEAU CODE
$sql = "SELECT * FROM users 
        WHERE age > :min_age 
        AND city = :city 
        AND status = :status 
        ORDER BY name 
        LIMIT :limit";

$results = $db->queryPrepared($sql, [
    'min_age' => 18,
    'city' => 'Paris',
    'status' => 'active',
    'limit' => 10
]);

if ($results !== false) {
    echo "Trouvé " . $db->getNumRows() . " utilisateur(s)\n";
    foreach ($results as $row) {
        echo "- {$row['name']} ({$row['age']} ans)\n";
    }
}

echo "\n";


// =====================================================
// EXEMPLE 7 : NOUVEAU - Transactions
// =====================================================

echo "=== EXEMPLE 7 : Transactions (NOUVEAU) ===\n\n";

try {
    // Démarre une transaction
    $db->beginTransaction();
    
    // Plusieurs opérations
    $db->execute("INSERT INTO orders (user_id, total) VALUES (:user_id, :total)"
, [
        'user_id' => 1,
        'total' => 99.99
    ]);
    
    $orderId = $db->getLastId();
    
    $db->execute(
"INSERT INTO order_items (order_id, product_id, quantity) VALUES (:order_id," .
" :product_id, :quantity)", [
        'order_id' => $orderId,
        'product_id' => 5,
        'quantity' => 2
    ]);
    
    // Valide toutes les opérations
    $db->commit();
    
    echo "? Transaction réussie\n";
    echo "Commande créée : #$orderId\n";
    
} catch (Exception $e) {
    // En cas d'erreur, annule tout
    if ($db->inTransaction()) {
        $db->rollback();
    }
    echo "? Transaction annulée : " . $e->getMessage() . "\n";
}

echo "\n";


// =====================================================
// EXEMPLE 8 : Protection contre injection SQL
// =====================================================

echo "=== EXEMPLE 8 : Test d'Injection SQL ===\n\n";

// Tentative d'injection SQL
$maliciousInput = "1 OR 1=1--";

// ? ANCIEN CODE - VULNÉRABLE
/*
$sql = "SELECT * FROM users WHERE id = " . $maliciousInput;
// Résultat : Retourne TOUS les utilisateurs !
*/

// ? NOUVEAU CODE - PROTÉGÉ
$sql = "SELECT * FROM users WHERE id = :id";
$results = $db->queryPrepared($sql, ['id' => $maliciousInput]);

if ($results !== false) {
    echo "Résultats trouvés : " . count($results) . "\n";
    echo "? L'injection SQL a été bloquée automatiquement !\n";
} else {
    echo "Aucun résultat (normal)\n";
}

echo "\n";


// =====================================================
// EXEMPLE 9 : Gestion d'erreurs moderne
// =====================================================

echo "=== EXEMPLE 9 : Gestion d'Erreurs ===\n\n";

// Requête avec erreur volontaire
$sql = "SELECT * FROM table_inexistante";
$results = $db->query($sql);

if ($results === false) {
    echo "Une erreur s'est produite :\n";
    echo "Code : " . $db->getErrorNum() . "\n";
    echo "Message : " . $db->getErrorMsg() . "\n";
}

echo "\n";


// =====================================================
// EXEMPLE 10 : Fermeture de connexion
// =====================================================

echo "=== EXEMPLE 10 : Fermeture ===\n\n";

// ? ANCIEN CODE
/*
$db->close();
*/

// ? NOUVEAU CODE
$db->close();
// Ou laissez le destructeur le faire automatiquement

echo "? Connexion fermée\n";

Fonctions du code - Doc officielle PHP

php.net	Description	Versions PHP
array	Crée un tableau	PHP 4, 5, 7 et 8

count	Compte tous les éléments d'un tableau ou dans un objet Countable	PHP 4, 5, 7 et 8

die	Alias de la fonction exit	PHP 4, 5, 7 et 8

echo	Affiche une chaîne de caractères	PHP 4, 5, 7 et 8

empty	Détermine si une variable est vide	PHP 4, 5, 7 et 8

return	Retourne le controle du programme au module appelant	PHP 4, 5, 7 et 8

sprintf	Retourne une chaîne formatée	PHP 4, 5, 7 et 8

strtolower	Renvoie une chaîne en minuscules	PHP 4, 5, 7 et 8

trim	Supprime les espaces en début et fin de chaîne	PHP 4, 5, 7 et 8

[1]

Invité
11 Juin 2009 à 19:47
Bonjour,

juste une erreur à signaler,

quand vous écrivez : "database::getEscaped($sql)", ligne 84, ce sont les attributs qu'il faut sécurisés, et pas la requête SQL.

un exemple :

$sql = INSERT INTO user (`login`, `pass`) VALUES ('j'ean marie', 'pass');

Si je fais : database::getEscaped($sql) :

$sql = INSERT INTO user (`login`, `pass`) VALUES (\'j\'ean marie\', \'pass\');

alors qu'il faudrait :

$sql = INSERT INTO user (`login`, `pass`) VALUES ('j\'ean marie', 'pass'); ....

Une solution :
ligne 84 : $this->cursor = mysql_query($sql, $this->resource);

Et de laisser le contrôle des attributs à l'utilisateur.

Brieuc.