Utilisation des requêtes préparées

Les requêtes préparées (ou requêtes paramétrées) permettent de séparer les instructions SQL des données. Cela empêche les attaquants de modifier la logique de la requête en y injectant du code SQL malveillant.

Exemple de requête préparée en PHP :

$stmt = $pdo->prepare("SELECT * FROM utilisateurs WHERE nom = :nom");
$stmt->bindParam(':nom', $nom_utilisateur);
$stmt->execute();

Cette approche garantit que l'entrée de l'utilisateur est traitée comme une valeur et non comme une partie de la requête SQL.