Selection passée en paramètre

[Mocodo]

Bonjour,

je viens vers vous pour un petit coup de main, je travaille actuellement sur un projet (scolaire, rien à cacher, c'est un PTI de BTS IG), et je souhaiterai créer ma requète dynamiquement.

Pour faire simple, en fonction des TextBox remplis, je génère une chaine de caractère que je souhaiterai passer en argument d'une procédure stockée dont voici le code:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
CREATE PROCEDURE `view_selected_subscribers`(param varchar(1024))
BEGIN
SELECT matricule AS 'Matricule', nom AS 'Nom', prenom AS 'Prenom', adresse AS 'Adresse', codePostal AS "Code Postal", ville AS 'Ville', dateNaissance AS "Date de Naissance", idCategorie AS 'CSP', telephone AS 'Telephone', mail AS "E-mail", dateAdhesion AS "Date d'Adhesion", admin AS "Est Admin?" FROM abonnes WHERE param;
END $$

Le problème c'est que je n'arrive pas à trouver le format de passage de cet argument "param", lorsque j'exécute ma requète à la main de la facon suivante:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT matricule AS 'Matricule', nom AS 'Nom', prenom AS 'Prenom', adresse AS 'Adresse', codePostal AS "Code Postal", ville AS 'Ville', dateNaissance AS "Date de Naissance", idCategorie AS 'CSP', telephone AS 'Telephone', mail AS "E-mail", dateAdhesion AS "Date d'Adhesion", admin AS "Est Admin?" FROM abonnes WHERE abonnes.matricule = 1;

J'ai bien un retour.
Par contre lorsque je fais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

CALL view_selected_subscribers(abonnes.matricule = 1);

C'est une erreur 1109 qui m'attends. J'ai pensé que vu que j'envoie un varchar en paramètre, je devais l'entourer de simple, voir de de double quote, mais dans ce cas, exit l’Erreur, mais aucun enregistrement ne m'est retourné...

Si vous aviez une petite piste, je vous en remercie

[benangi]

Une piste avec PREPARE

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
 
delimiter $$
DROP PROCEDURE IF EXISTS db2.`myProcedure`$$ 
CREATE PROCEDURE db2.`myProcedure`(IN param varchar(1024))
BEGIN
SET @Q= CONCAT('SELECT * FROM db2.product WHERE ', param);
PREPARE stmt FROM @Q;
EXECUTE stmt;
END $$
 
delimiter ;
 
USE db2;
CALL myProcedure('reference = "ref1"');

[aieeeuuuuu]

attention,

en faisant ainsi vous vous exposez aux attaques par injection SQL

une solution certes pas sympa a mettre en place mais plus sure serait de définir un paramètre en entrée de votre procédure stockée pour chaque colonne susceptible d'être filtrée. ce paramètre doit être nullable

ensuite dans la clause where de votre requete, vous pouvez mettre :

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
WHERE 
( Filtre1 IS NULL OR Colonne1 = Filtre1)
AND 
(Filtre2 IS NULL OR Colonne2 = Filtre2)
AND
...

[CinePhil]

Citation:

en fonction des TextBox remplis,

Il y a donc une interface utilisateur développée dans un langage de programmation.
Pourquoi ne pas préparer la requête dans le langage de programmation et l'envoyer au serveur une fois construite ?

Attention quand même aux injections SQL !