SELECT LIKE avec apostrophe [Résolu]

[christele_r]

Bonsoir,
Là je ne trouve pas de parade sérieuse a un SELCTE LIKEdans mon cas ou des clieents ont des noms avec apostrophe
exemple

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
$lui="D'ALIVRANCE";
//=====alors=========
mysql_query ("SELECT * FROM apod_rv WHERE nompren  LIKE '$lui%'  LIMIT 15");

Avez vous déjas rencontré ce problême

Merci d'avance
Christele

[Seb33300]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$lui = mysql_real_escape_string("D'ALIVRANCE");
//=====alors=========
mysql_query ("SELECT * FROM apod_rv WHERE nompren  LIKE '$lui%'  LIMIT 15");

[christele_r]

Mille mercis a toi,
Mais avec PDO ce n'est pas possible
mais du coup tu m'as donné une idée et ça marche avec MySql et PDO
Whaou ! Tout bétement

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
$lui="D'ALIVRANCE";
//=====alors=========
mysql_query ('SELECT * FROM apod_rv WHERE nompren  LIKE "'.$lui.'%"  LIMIT 15');

C' est TOP !
A++ Christele

[ABCIWEB]

Non pas TOP du tout, c'est pas le bon moyen -> c'est une faille de sécurité et tu t'expose à des injections sql. Toutes les variables doivent être protégées dans une requête, et pas qu'avec la clause LIKE.

Avec mysql il faut utiliser la fonction mysql_real_escape_string (comme déjà dit).
Avec PDO if faut utiliser la fonction quote ou des requêtes préparées.

C'est un impératif et si tu ne le fais pas ton site est très vulnérable à tout pirate même amateur, cf exemple 2 de ce lien. Attention de ne pas traiter ces problèmes à la légère

[christele_r]

Bonjour,
N'étant pas le sujet, je m'étais attachée qu'a la syntaxe de mon probléme, donc pour moi c'est clos.
NB bien entendu je protéges tout sur mes sites

[ABCIWEB]

Citation:

Envoyé par christele_r

Bonjour,
N'étant pas le sujet, je m'étais attachée qu'a la syntaxe de mon probléme, donc pour moi c'est clos.
NB bien entendu je protéges tout sur mes sites

Réponse pour le moins ambigüe : on ne traite pas une requête comme une chaine de caractère standard, et il n'y a pas lieu de déroger à cette règle pour ton problème.

Par ailleurs je doute un peu que tes sites soient correctement protégés contre les injections sql car dans ce cas tu utiliserais systématiquement les fonctions mysql_real_escape_string ou quotes (ou des requêtes préparées), ce qui fait que tu n'aurais pas eu ce problème et donc pas de question à poser.

Bon en admettant que tu utilise ces fonctions dans tes autres requêtes et que tu te pose la question spécifiquement pour LIKE, et bien il faut faire pareil pour LIKE. En d'autres termes si tu as trouvé l'origine du problème, ta façon d'y répondre n'est pas correcte.

Notes bien que je ne te dis pas ça par simple esprit de contradiction