Discussion :

[ajo12]

Bonjour,

Je voudrais distribuer des coupons cadeau. Le problème que si on utilise le % à la place du code ça fonctionne alors que ça ne devrait pas.

Ma requête pour tester si le coupon existe est la suivante:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

select count(*) from coupontable where code like codecouponàtester

j'utilise pourtant les fonctions prepare() et execute() pour mes requêtes.

Quelqu'un a une idée ?

[tse_jc]

Bonjour,

Selon vos besoins, utilisez une expression régulière ou un simple str_replace().

Cordialement,

Jc.

[CinePhil]

Pas sûr d'avoir compris le problème mais si tu ne veux pas de %, remplace le LIKE par un = !

[ajo12]

merci pour vos réponses. Pour l'instant j'ai utilisé str_rplace().

Par contre, je sais pas si ca fonctionne si on utilise une expression régulière à la place du coupon cadeau (code) mais je pense que oui.

coupon cadeau est un varchar j'utilise donc like et donc pas =. Ai-je tort ?

[tse_jc]

1) Coté SQL, le str_replace (PHP) ou REPLACE() (SQL) est le plus adapté et peut donc être fait au niveau de la requête
2) Au niveau expression régulière dans ce cas de figure il est plus adapté de l'utiliser côté PHP avec un preg_replace(). Cependant si le % est le seul caractère à filtrer, le str_replace est plus adapté et performant dans ce cas.

Pour le coupon cadeau, il faut faire une comparaison stricte avec = pour éviter les problèmes de sécurité.

Le meilleur conseil que je puisse vous donner, de manière à préserver la qualité de vos données en toute circonstances, c'est de contrôler le type et la valeur de tous vos paramètres à tous les stades applicatif, et ne pas faire confiance aux variables passés au niveau SGBDR et donc d'y avoir la même démarche. Vous y gagnerez beaucoup à tous les niveaux.

Cordialement,

Jc.

[ajo12]

Bonjour,

merci de ta réponse. J'ai changé le "like" par un "=", ce qui résout le problème du %.

Par contre, si un utilisateur tente une expression régulière je ne sais pas comment le code va réagir. Est ce que la requete

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

select * from coupontable where coderentré = [a-z]*

peut fonctionner ? (ou un truc du genre) Comment l'éviter ?

[CinePhil]

J'ai l'impression que tu as besoin de cours sur le SQL !

Ta première requête :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT count(*) FROM coupontable WHERE code LIKE codecouponàtester

Elle signifie, entre autres, que la table "coupontable" comporte une colonne nommée "code".

Si tu fais cette requête :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
SELECT count(*) 
FROM coupontable WHERE code = '.$codecouponàtester.'

Et si tu protèges bien la variable passée à la requête pour éviter les injections SQL, tant que l'utilisateur n'aura pas fourni un code de coupon existant dans la table, la requête retournera zéro.

Si par contre tu fais ta deuxième requête :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM coupontable WHERE coderentré = [a-z]*

Et que "coderentré" est le code saisi par l'utilisateur, ta requête ne retournera probablement jamais de résultat et provoquera par contre une erreur parce que [a-z]* sans guillemets et sans fonction REGEXP ne peut pas être compris par MySQL.
Et si tu utilises la fonction REGEXP, il est fort probable que la requête renverra toute la table !

[ajo12]

Merci CinePhil. Les 3 dernières lignes de ton post ont répondu à ma question.

Merci à tous