[Résolu] Exploitation d'une variable dans une requête "Where Like"

Bonjour,
Je tourne en rond depuis un petit moment déjà.
Le site pour lequel j'ai besoin d'aide est réalisé à l'aide de Divi.
Dans la page "Abbayes", j'ai environ 1.600 lignes dont les données sont stockées dans une base de données MySQL.
Chacune de ces lignes permet d'obtenir plus de détails sur tel ou tel établissement en fonction du lien suivant :
<a href="reception?num=201" title="GET" target="_blank" rel="noopener noreferrer">201</a>

Dans la page "Reception", je récupère sans problème le contenu de ma variable :
<?php
echo $_GET['num'];
?>

Par contre je n'arrive pas à trouver le bon code pour faire apparaître toutes les données afférentes à cette variable. Voici le code complet sans la partie connexion :
<?php
........ (Connexion à la BDD)

$query = $pdo->query("SELECT * FROM `wp_abbayes` WHERE `Code` LIKE '????????'");
$resultat = $query->fetchAll();

print("<table border=\"1\">");

foreach ($resultat as $key => $variable)
{
print("<tr>");
print("<td>".$resultat[$key]['Code']."</td>");
print("<td>".$resultat[$key]['Code_Dept']."</td>");
print("<td>".$resultat[$key]['Nom']."</td>");
print("<td>".$resultat[$key]['Commune']."</td>");
print("<td>".$resultat[$key]['Departement']."</td>");
print("<td>".$resultat[$key]['Region']."</td>");
print("<tr>");
}

print("</table>");
?>

Je remercie par avance toute personne qui voudra bien consacrer un peu de temps à me donner une réponse.

Bonjour,

Que vois-je ? Là je bondis et me demande si vous avez bien conscience que $query->execute(['num' => $_GET['num']]) n'est donné qu'à titre pédagogique et qu'en réalité il vous faudra d'abord assainir la donnée GET, l'attribuer à une variable et que ce sera cette variable qui viendra en lieu et place dans cette commande.

Au final vous aurez un truc du genre :

$my_data = '';
if (!empty($_GET['num'])) {
  $my_data = fonction_assainir($_GET['num']);
}
if (!empty($my_data)) {
  $query = $pdo->prepare("SELECT * FROM wp_abbayes WHERE Code=:num");
  $query->execute(['num' => $my_data]); 
  $resultat = $query->fetchAll();
}

Mais cela vous le saviez déjà, n'est-ce pas ?
Modifié par Greg_Lumiere (28 Feb 2020 - 10:22)

La variable est bien une valeur numérique. J'ai donné un code à chacune des abbayes / chartreuses, ce code étant composé du numéro du département suivi d'un numéro à deux chiffres (pas plus d'une centaine d'établissements par département heureusement).
Ton code fonctionne parfaitement. Pour l'heure je développe en local avec Laragon, il ne me reste plus qu'à appliquer cela sur la version en ligne.

Salut

Numérique ou pas, c'est une variable venant d'un GET donc très facilement piratable.

Il suffit de capturer ton url, de capturer ta variable, et avant de lancer le formulaire faire un
";drop database" à la place, et le tour et jouer.

Oui, je sais, pour l'heure en local pas de risque. Mais il me faut encore sécuriser cela.

Oursfort a écrit :

Et quelle méthode préconises tu pour sécuriser cette variable numérique ?
Merci

Tout ce que Greg/Mathieuu ont déjà dit
Modifié par JENCAL (28 Feb 2020 - 11:56)

Bonjour,
Je pense que tout le monde a perçu le fait que je ne sois qu'un débutant en PhP. J'ai eu programmé mais il y a longtemps de cela dans les années 80 au CERN, ça date.
Je n'ai pas besoin de grand chose, simplement d'accéder à partir d'un tableau (Extension Tablepress de Wordpress) à une page sur laquelle s'afficheront toutes les données (une vingtaine) afférente à telle ou telle abbaye ou chartreuse.
Au vu des conseils précédents, je suis effectivement en train de me pencher sur POST pour remplacer GET dans mon lien :
<a href="reception?num=201" title="GET" target="_blank" rel="noopener noreferrer">201</a>
(201 étant ma variable).
Je vais donc continuer à étudier cela et vous remercie de vos conseils.

Merci pour ce message.
J'ai déjà effectivement testé la solution de Mathieuu qui est parfaitement fonctionnelle.
Et comme précisé par le même intervenant il n'est effectivement pas inutile de vérifier que la variable soit une donnée numérique comprise entre telle et telle valeur.
Merci à tous pour vos renseignements.

Merci à tous pour vos réponses.
La solution de Mathieuu est effectivement fonctionnelle.
Avant la connexion, j'ai rajouté une double condition, à savoir que ma variable est composée de quatre et seulement quatre caractères et qu'elle est intégralement numérique.
Si l'une de ces deux conditions n'est pas respectée la connexion échoue.
Ma demande est donc résolue.

Bonjour tout le monde,
La question est un poil plus complexe, la simple utilisation d'une requête préparée ne convient pas à régler tous les exploits possible :
* https://stackoverflow.com/questions/134099/are-pdo-prepared-statements-sufficient-to-prevent-sql-injection#answer-12202218
* https://websitebeaver.com/php-pdo-prepared-statements-to-prevent-sql-injection

Tu devrait regarder ce que sont les customs post types et les custom fields de wordpress car c'est ce qui fait justement sa force pour créer des listes de pages comme tu sembles vouloir le faire.

Autrement tu vas te faire beaucoup de mal en t'affranchissant de la méthode get et encore plus à essayer d'insérer du php directement dans tes pages. D'abord c'est dangereux et ça veux dire en plus que tu vas devoir copier/coller du code pour toutes tes pages, ce n'est pas viable.