Reprise du message précédent :

 
harko, toujours en retard

les 29 secondes, je les ai perdues en lui cherchant la page de manuel

Grosso merdo, ça :

$sql= "select RTRIM(login) A, RTRIM(login) B
       from users u,droits d
       where (d.business = :business or d.business = 'X')
       and lower(r.application) = :market
       and u.login=d.login
       and d.id_role=r.id_role
       ORDER BY 1";
$conn = oci_connect();
$stmt = oci_parse($conn, $sql);
oci_bind_by_name($stmt, ':business', $business);
oci_bind_by_name($stmt, ':market', $market);
oci_execute($stmt);

Geek c'est quoi ? un kebab ?

 
mysqli.
Alors qu'une de ses variables s'appelle $ORA_SQL.

IVE GOT SOMETHING MCS CAN KISS  

Qu'est-ce qui te fait dire que les variables ne sont pas escapées avant ?  
C'est pas forcément un nid à injection, ça peut très bien être une merde codée avec les standarts d'il y a 20 ans par un stiffler alsacien

 
L'habitude

Vu la gueule du code, les chances sont minces, autant être pessimiste c'est moins dangereux.

Il n'y a pas de fonction d'échappement spécifique aux chaines oracle dans php, contrairement au magnifique mysql_real_escape_string.
Ce qui donne chez les progueux du dimanche du code du style :

function str_oracle($str) {
 
    // Supprime les caractères ’ et – provennant du copier coller, non reconnus par oracle
    $str = str_replace(chr(146), chr(39), $str); // apostrophe
    $str = str_replace(chr(150), chr(45), $str); // Tiret
    
    // Supprime les antislashes
    $str = str_replace('\'\'', '\'', $str);
    $str = str_replace('\\\'', '\'', $str);
    $str = str_replace('\'', '\'\'', $str);
    //$str = str_replace('&', '&&', $str);
    
    
    return $str;
}

Mais la PDO est dispo depuis combien de temps ?
Y a 5-6 ans, j'en entendais pas parlé, et on faisait sans... Ça n'empêche qu'on essayait de faire gaffe à pas avoir de requêtes injectables. Donc annoncer d'emblée que c'est une passoire, je trouve ça bien présomptueux

Avec oracle les requêtes préparées ont toujours existé, pas besoin de PDO. Et avec mysql, fonctions d'échappement spécifiques.

...tiens d'ailleurs la vieille extension ORA a définitivement disparu de la doc php!

C'est l'ancienne extension Oracle, avant OCI?

yep, que j'ai utilisée pendant un bon moment. Elle a dû passer dans pecl, je pense.

 
j'ai encore une appli en PHP4 qui l'utilise

Bof ça marche, pas des masses de différences avec OCI...à part l'ordre des paramètres du bind, si mes souvenirs sont bons, tiens.

J'y connais rien à Oracle

En attendant t'as assumé qu'avant PDO il n'y avait rien pour se connecter à Oracle

Alors que j'ai posté un exemple oci 10 posts plus haut.

il fait 3° dehors

8

Ils sont en sous-sol, sans plafonniers.

Rien d'anormal aux radios
Demain, je prends rendez-vous pour un IRM /\

Linux Apache MySQL PHP EXTREME

une.

 
Coupure du net, pas pu la réhéberger
 
Son CV faisait 4 pages, avec des trucs genre "Environnement technique: Windows 2000, ubuntu, HTML, Apache 2, ultraedit" et "centre d'intérêt: internet".
 
Un bon cassos, quoi  

Java + SWT + Multi-threading

Contacté ce matin à 9h.

De quelques années au moins je crois
 

Qu'avec le nombre d'enfants dont tu es le père, tu dois pas pratiquer beaucoup
 

http://www.lemonde.fr/economie/art [...] r=RSS-3208
 

l;eur plan social a le meme nom que le notre : "ambition 2015" avec les memes effets : -900 personnes en 3 ans  
 
d'ailleurs mon directeur a eu la légion d'honneur

pas suivi, tu postules où?

J'ai assumé qu'avant PDO, y avait pas de prepared statements

... en fait, j'ai postulé à une offre d'une SSII qui recrute du monde en préembauche pour ma boite, dans mon équipe (ou celle d'à côté)

Avec un salaire annoncé sur l'apec à 50k. Je sais pas de combien est la marge, mais je pense qu'il y a moyen que l'entretien carrière de lundi prochain soit rock'n'roll...

Rentrer "UTOOB" dans google trouve youtube en first hit