Discussion :

[Gouxosor]

Bonjour,

J’essaie sans succès d'écrire un script php qui insérerait des données dans une table, en utilisant la méthode des Requête préparée. J'arrive à passer les paramètres VALUE(?,?,?) sans problèmes mais par contre j’essaie en vain de passer le nom d'une table dans la préparation de la requête. Dans la requête SQL il ne faut pas qu'elle soit entouré de quotes, mais je n'arrive pas a m'en débarrasser:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<?php 
$table = 'user';
$first_name = 'Gros';
$last_name = 'Minet';
$email = 'cartoon@gmail.com';
 
try {
	$dbh = new PDO('mysql:host=localhost;dbname=newdb', 'mon_user', 'pon_pswd');
	$dbh->setAttribute ( PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION );
 
	$sql = "INSERT INTO ? (first_name, last_name, email) VALUE(?,?,?)";
	$sq = $dbh->prepare ( $sql );
	$sq->execute(array(
			$table,
			$first_name,
			$last_name,
			$email)
	);
} catch ( PDOException $e ) {
	echo 'ERREUR : ' . $e->getMessage ();
}
?>

Au final ma requete SQL est:

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

INSERT INTO 'user' (first_name, last_name, email) VALUE('Gros','Minet','cartoon@gmail.com')

et cela ne marche pas, il faudrait:

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

INSERT INTO user (first_name, last_name, email) VALUE('Gros','Minet','cartoon@gmail.com')

J'ai beau chercher sur le net, je n'y arrive pas. Peut être que cela n'a pas d’intérêt(Je peux imaginer sortir cette variable de la préparation de la requête), mais je suis un peu têtu.

Merci d'avance.

[sabotage]

Ce n'est pas possible : la préparation d'une requête exige de connaitre le nom des tables.

[Gouxosor]

Merci pour la réponse, est ce que je peux en conclure qu'il n'y a pas d’intérêt à passer par une préparation de requête quand je ne manipule pas les données de la table(SELECT, INSERT...) mais les tables elles mêmes ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$sql = "TRUNCATE $db_table";
$sq = $dbh->prepare ( $sql );
$sq->execute ();

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$sql = "TRUNCATE $db_table";
$dbh->exec($sql);

[ABCIWEB]

Non il n'y a pas d'intérêt puisque la préparation consiste à faire une abstraction des données de la requête.
L'abstraction des données permet deux choses :
- plus grande rapidité d'exécution pour les requêtes multiples (typiquement dans une boucle).
- Meilleure sécurité pour protéger la requête des données utilisateurs.

Si ta requête est unique, la requête préparée n'est donc utile que pour protéger la requête des données externes.
Si les données sont internes ou à fortiori s'il n'y a pas de données la préparation n'a aucun intérêt.


Dans ton cas si tu voulais faire une requête dynamique avec les noms de tables dynamiques il faudrait faire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
$sql = "INSERT INTO $table (first_name, last_name, email) VALUE(?,?,?)";
$sq = $dbh->prepare ( $sql );
$sq->execute(array(
$first_name,
$last_name,
$email)
);

(Il faut mettre ta variable $table directement dans la requête mais pas comme un marqueur)

[Gouxosor]

Ok, merci encore.