Publicité
+ Répondre à la discussion
Affichage des résultats 1 à 14 sur 14
  1. #1
    Invité régulier
    Inscrit en
    mars 2012
    Messages
    67
    Détails du profil
    Informations forums :
    Inscription : mars 2012
    Messages : 67
    Points : 7
    Points
    7

    Par défaut Echapper les caractères potentiellement dangereux pour une requête SQL avec LIKE

    Bonsoir à tous,

    Sur mon blog, je dispose d'un formulaire de recherche basique (un input de type search) et d'une requête que voici :

    Code :
    1
    2
    3
    4
    $search = htmlspecialchars($_GET['search']);
    	if ($search AND $search != "") {
    		$req = $bdd->prepare("SELECT * FROM annonce WHERE titre LIKE '%$search%' OR contenu LIKE '%$search%' OR codePostal LIKE '%$search%' ORDER BY date DESC") or die(print_r($bdd->errorInfo()));
    		$req->execute(array($search)) or die(print_r($req->errorInfo()));
    J'aimerais échapper certains caractères surtout la guillemet simple qui fait planter la requête puisqu'elle comporte .

    J'ai testé les caractères suivant : # ! ^ $ ( ) [ ] { } ? + * . \ | tous à la suite je n'ai pas eu de problème...

    Je n'ai donc pas trouvé d'autres caractères pouvant causer problème. SI vous en connaissez dites le moi, merci

  2. #2
    Modérateur
    Avatar de rawsrc
    Homme Profil pro Martini
    Dev indep
    Inscrit en
    mars 2004
    Messages
    3 665
    Détails du profil
    Informations personnelles :
    Nom : Homme Martini
    Âge : 38
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Dev indep

    Informations forums :
    Inscription : mars 2004
    Messages : 3 665
    Points : 9 019
    Points
    9 019

    Par défaut

    Salut,

    je t'invite à relire un peu la doc de PDO parce que la manière dont tu l'utilises lui retire absolument tout son intérêt

    On utilise des placeholder dans le SQL et pas la valeur de la variable :
    Code sql :
    1
    2
    3
    4
    5
    6
    7
    8
      SELECT * 
        FROM annonce 
       WHERE 
             titre LIKE '%:search%' 
             OR contenu LIKE '%:search%' 
             OR codePostal LIKE '%:search%' 
    ORDER BY 
             date DESC
    # Dans la Création, tout est permis mais tout n'est pas utile...

  3. #3
    Modérateur
    Avatar de sabotage
    Homme Profil pro Vincent
    Inscrit en
    juillet 2005
    Messages
    21 397
    Détails du profil
    Informations personnelles :
    Nom : Homme Vincent

    Informations forums :
    Inscription : juillet 2005
    Messages : 21 397
    Points : 31 174
    Points
    31 174

    Par défaut

    De mémoire, les % ne peuvent être mis dans la requête, il faut les ajouter à la valeur :
    Code :
    1
    2
    3
     
    $req = $bdd->prepare("SELECT * FROM annonce WHERE titre LIKE :search");
    $req->execute(array('%' . $_GET['search'] . '%'))
    Sinon rawsrc a raison : tu utilises PDO comme on utilisait l'ancien pilote mysql.
    Enlève tes "or die()" ; si tu veux les erreurs, tu as juste à activer les exceptions sur ta connexion.
    http://php.net/manual/fr/pdo.error-handling.php

  4. #4
    Modérateur
    Avatar de rawsrc
    Homme Profil pro Martini
    Dev indep
    Inscrit en
    mars 2004
    Messages
    3 665
    Détails du profil
    Informations personnelles :
    Nom : Homme Martini
    Âge : 38
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Dev indep

    Informations forums :
    Inscription : mars 2004
    Messages : 3 665
    Points : 9 019
    Points
    9 019

    Par défaut

    oui sabotage a raison, tu dois sortir les % de la chaine SQL et les ajouter à la valeur.
    # Dans la Création, tout est permis mais tout n'est pas utile...

  5. #5
    Invité régulier
    Inscrit en
    mars 2012
    Messages
    67
    Détails du profil
    Informations forums :
    Inscription : mars 2012
    Messages : 67
    Points : 7
    Points
    7

    Par défaut

    Il n'existe pas des masses de tuto pour PDO donc je l'utilise un peu comme j'ai appris :s

    Sabotage : Je ne peux pas juste mettre ":search", si ?

    Code :
    1
    2
    $req = $bdd->prepare("SELECT * FROM annonce WHERE titre LIKE :search OR contenu LIKE :search OR codePostal LIKE :search ORDER BY date DESC") or die(print_r($bdd->errorInfo()));
    		$req->execute(array('%' . $search . '%')) or die(print_r($req->errorInfo()));
    Voici l'erreur que j'ai :

    Code :
    Array ( Array ( [0] => HY093 [1] => [2] => ) 1

  6. #6
    Rédacteur/Modérateur
    Avatar de jreaux62
    Homme Profil pro Jérôme Réaux
    Webdesigner
    Inscrit en
    août 2008
    Messages
    5 397
    Détails du profil
    Informations personnelles :
    Nom : Homme Jérôme Réaux
    Âge : 47
    Localisation : Nouvelle-Calédonie

    Informations professionnelles :
    Activité : Webdesigner
    Secteur : Arts - Culture

    Informations forums :
    Inscription : août 2008
    Messages : 5 397
    Points : 10 371
    Points
    10 371

    Par défaut

    Bonjour,
    voici un bon tuto => Comprendre PDO

    Code php :
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    $query = "SELECT * 
    	FROM annonce 
    	WHERE titre LIKE :search 
    	OR contenu LIKE :search 
    	OR codePostal LIKE :search 
    	ORDER BY date DESC";
    try {
    	$req = $bdd->prepare($query);
    	$req->bindValue(':search', '%'.$search.'%', PDO::PARAM_STR);
    	$req->execute();
    } catch (PDOException $e) { echo 'Erreur SQL : '. $e->getMessage().'<br/>'; die(); }
    En supposant d'avoir activé avant la gestion d'erreur PDO.
    Code php :
    	$bdd->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    "Si tu suis le chemin qui s'appelle « plus tard », tu arriveras à la place qui s'appelle « jamais »."
    François Camille Prévot (1910-1996), instituteur puis Directeur d'école et... mon grand-père.
    "Ce qui se conçoit bien s'énonce clairement. Et les mots pour le dire arrivent aisément."
    Nicolas Boileau-Despréaux (1636-1711).
    Mes tutos DVP
    Gestion-Affichage de Nouvelles
    Affichage en tableau HTML
    Fonctions de redimensionnement d'images

  7. #7
    Invité régulier
    Inscrit en
    mars 2012
    Messages
    67
    Détails du profil
    Informations forums :
    Inscription : mars 2012
    Messages : 67
    Points : 7
    Points
    7

    Par défaut

    J'ai testé cette requête pour voir et elle ne fonctionne pas :/

  8. #8
    Rédacteur/Modérateur
    Avatar de jreaux62
    Homme Profil pro Jérôme Réaux
    Webdesigner
    Inscrit en
    août 2008
    Messages
    5 397
    Détails du profil
    Informations personnelles :
    Nom : Homme Jérôme Réaux
    Âge : 47
    Localisation : Nouvelle-Calédonie

    Informations professionnelles :
    Activité : Webdesigner
    Secteur : Arts - Culture

    Informations forums :
    Inscription : août 2008
    Messages : 5 397
    Points : 10 371
    Points
    10 371

    Par défaut

    J'ai mis un lien.
    Ce n'est pas une guirlande de Noël, mais ça devrait t'éclairer.
    "Si tu suis le chemin qui s'appelle « plus tard », tu arriveras à la place qui s'appelle « jamais »."
    François Camille Prévot (1910-1996), instituteur puis Directeur d'école et... mon grand-père.
    "Ce qui se conçoit bien s'énonce clairement. Et les mots pour le dire arrivent aisément."
    Nicolas Boileau-Despréaux (1636-1711).
    Mes tutos DVP
    Gestion-Affichage de Nouvelles
    Affichage en tableau HTML
    Fonctions de redimensionnement d'images

  9. #9
    Invité régulier
    Inscrit en
    mars 2012
    Messages
    67
    Détails du profil
    Informations forums :
    Inscription : mars 2012
    Messages : 67
    Points : 7
    Points
    7

    Par défaut

    J'y ai jeté un coup d'oeil...n'ayant pas le temps ce soir, je voudrais juste savoir s'il y a moyen d'échapper le caractère ' quitte à ce que je conserve mon "mauvais" code pour ce soir et que je vois comment l'améliorer à l'aide du lien.

    Je ne veux pas non plus d'un code tout prêt.

  10. #10
    Rédacteur/Modérateur
    Avatar de jreaux62
    Homme Profil pro Jérôme Réaux
    Webdesigner
    Inscrit en
    août 2008
    Messages
    5 397
    Détails du profil
    Informations personnelles :
    Nom : Homme Jérôme Réaux
    Âge : 47
    Localisation : Nouvelle-Calédonie

    Informations professionnelles :
    Activité : Webdesigner
    Secteur : Arts - Culture

    Informations forums :
    Inscription : août 2008
    Messages : 5 397
    Points : 10 371
    Points
    10 371

    Par défaut

    Citation Envoyé par JimDraw Voir le message
    ...savoir s'il y a moyen d'échapper le caractère '...
    Ah, il fallait le dire tout de suite ! => Comprendre PDO
    "Si tu suis le chemin qui s'appelle « plus tard », tu arriveras à la place qui s'appelle « jamais »."
    François Camille Prévot (1910-1996), instituteur puis Directeur d'école et... mon grand-père.
    "Ce qui se conçoit bien s'énonce clairement. Et les mots pour le dire arrivent aisément."
    Nicolas Boileau-Despréaux (1636-1711).
    Mes tutos DVP
    Gestion-Affichage de Nouvelles
    Affichage en tableau HTML
    Fonctions de redimensionnement d'images

  11. #11
    Invité régulier
    Inscrit en
    mars 2012
    Messages
    67
    Détails du profil
    Informations forums :
    Inscription : mars 2012
    Messages : 67
    Points : 7
    Points
    7

    Par défaut

    Je ne sais pas si c'est de l'ironie ou si tu n'avais pas compris...en tout cas je l'avais dis dans mon premier post.

    Je vais lire le passage du lien, merci beaucoup (pour le moment en retirant le or die... le ' est pris comme caractère et donc plus d'erreur)

    Merci encore

  12. #12
    Rédacteur/Modérateur
    Avatar de jreaux62
    Homme Profil pro Jérôme Réaux
    Webdesigner
    Inscrit en
    août 2008
    Messages
    5 397
    Détails du profil
    Informations personnelles :
    Nom : Homme Jérôme Réaux
    Âge : 47
    Localisation : Nouvelle-Calédonie

    Informations professionnelles :
    Activité : Webdesigner
    Secteur : Arts - Culture

    Informations forums :
    Inscription : août 2008
    Messages : 5 397
    Points : 10 371
    Points
    10 371

    Par défaut

    Citation Envoyé par JimDraw Voir le message
    Je ne sais pas si c'est de l'ironie ...
    Bingo ! Humour à froid et café chaud marrons chauds (c'est bientôt Noël !).
    "Si tu suis le chemin qui s'appelle « plus tard », tu arriveras à la place qui s'appelle « jamais »."
    François Camille Prévot (1910-1996), instituteur puis Directeur d'école et... mon grand-père.
    "Ce qui se conçoit bien s'énonce clairement. Et les mots pour le dire arrivent aisément."
    Nicolas Boileau-Despréaux (1636-1711).
    Mes tutos DVP
    Gestion-Affichage de Nouvelles
    Affichage en tableau HTML
    Fonctions de redimensionnement d'images

  13. #13
    Invité régulier
    Inscrit en
    mars 2012
    Messages
    67
    Détails du profil
    Informations forums :
    Inscription : mars 2012
    Messages : 67
    Points : 7
    Points
    7

    Par défaut

    Bon je ne le prend pas mal (c'est vrai que de voir défiler des gens toutes la journées qui ne lisent pas les docs...)

    J'ai pour le moment régler en supprimant les or die. Puis-je supprimer tous les or die ?

    Pour les erreurs j'ajouterai le bout de code qu'il faut après avoir "déclarer" ma BDD en début de code.

    Et pour la syntax de PDO je lirai la doc et le tuto.

    Merci

  14. #14
    Invité régulier
    Inscrit en
    mars 2012
    Messages
    67
    Détails du profil
    Informations forums :
    Inscription : mars 2012
    Messages : 67
    Points : 7
    Points
    7

    Par défaut

    Je viens de refaire des tests, et si je mets par exemple "l'année", mot se trouvant dans un de mes articles, le script ne me trouve rien...ça doit certainement venir de ma syntaxe, je pense que le ' et " fait sauter la requête, mais est-ce dangereux ou non ?

    Merci

+ Répondre à la discussion
Cette discussion est résolue.

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •