Discussion :

[CVS62]

Bonjour,

J'ai besoin de faire une requête préparée mais sur deux colonnes.

Colonne L et colonne D.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
$req = $connexion->prepare("SELECT l,d,p,s FROM Articles WHERE l LIKE '%".($_POST['l'])."%' AND d LIKE '%".($_POST['d'])."%' Order by d Asc "); 
$req->execute(array(
   "d" => $d,  
   "l" => $l
)); 
while ($data = $req->fetch())

Ca ne fonctionne pas, je me suis trompé ou ? Aucun message d'erreur.

Avec une requête sur une colonne ça fonctionne très bien.

Merci d'avance pour votre aide.

Débutant.

[Sebastien14]

Bonjour,

Cela ne ressemble pas à une requête préparé ce que tu fais, une requête préparée ressemble plus à sa

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
$conn->prepare('select * from Articles where nom=:nom');
req->execute(array(
   "nom" => $tavariable
));

[CVS62]

Merci de ta réponse.

Je veux juste faire une recherche sur deux colonnes. On m'a dit une requête préparée évite les injections.

Je veux taper banane et que ça recherche banane dans mes deux colonnes.

Je suis pas un grand spécialiste, et cherche à ce que mon code fonctionne et que je ne sois pas ennuyer niveau sécurité.

Merci encore pour ton aide.

[Sebastien14]

Niveau sécurité, c'est sur que c'est mieux de faire une requête préparé, il faut aussi faire attention quand tu récupères les valeurs de ton formulaire. Je te conseil d'utiliser la fonction filter_input.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
$d=filter_input(INPUT_POST,"d",FILTER_SANITIZE_STRING);
$l=filter_input(INPUT_POST,"l",FILTER_SANITIZE_STRING);

[CVS62]

Merci mais mais je fais comment pour que ma requête interroge mes deux colonnes : l et d ?

Si elle est pas préparée dans l'immédiat, c'est pas bien grave, mais je souhaite que ça aille chercher sur mes 2 colonnes.

J'y suis depuis ce matin, et je trouve pas la solution.

Merci encore pour ta patience et ton aide.

[CVS62]

Merci pour ton explication, ça fonctionne mais j'ai un problème c'est qu'il faut que je rajoute like '%' pour que ça corresponde à mes besoins.

Je fais comment avec un like '%' ?

Merci d'avance pour ta réponse. Bonne journée.

[Invité]

Bonjour,
les '%' font partie de la variable :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
$req = $connexion->prepare("SELECT l,d,p,s FROM Articles WHERE l LIKE :L AND d LIKE :D ORDER BY d ASC "); 
$req->execute(array(
   ':L' => '%'.$_POST['l'].'%',
   ':D' => '%'.$_POST['d'].'%'  
));

N.B. Et contrairement à ce qui t'a été dit, c'est bien une requête préparée : ->prepare(...)

[CVS62]

Merci beaucoup ça fonctionne, j'ai compris le truc.

Bonne journée et encore merci pour ton aide c'est sympa.

[Sebastien14]

Comme le dit jreaux62, il faut intégrer les pourcentages dans la variable.

Si l'on considère que tu utilises la fonction prepare alors oui c'est bien une requête préparée... par contre, le fait de passer la valeur du POST direct dans la requête fait perdre l'intérêt de la requête preparée, je me suis mal exprimé.

Je te conseil tout de même l'usage de la fonction filter_input.

[Invité]

Je confirme :

une requête préparée mais mal utilisée, c'est comme un coffre-fort avec une fenêtre ouverte à l'arrière

[CVS62]

Merci de vos conseils, j'utilise bien fonction filter_input.

Il faut bien que la personne tape ça recherche, vue que c'est pour un petit moteur de recherche dans ma bdd ?

La personne tape via un champ input et ça lance l'interrogation sur ma bdd. C'est pour ça que j'utilise $_post.

[sabotage]

Le filter_input() ne sert à rien ici.

[CVS62]

Ah bon, mon code fonctionne c'est le principal.

Merci encore de votre aide.