Discussion :

[defacta]

Bonjour,

Je n'arrive pas à faire fonctionner fetch_assoc(). J'ai le message d'erreur :

Fatal error: Call to a member function fetch_assoc() on a non-object in index.php on line 51

Pourtant pour le code je me suis basé sur cette page et il est donc sans problème.
https://arian.io/when-to-use-bind_re...sult-in-mysql/

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
$mysqli = new mysqli($db_domain, $db_user, $db_password, $db_database) ;
if($stmt = $mysqli->prepare("SELECT * FROM user where 1 ")){
   /*
        Binds variables to prepared statement
 
        i    corresponding variable has type integer
        d    corresponding variable has type double
        s    corresponding variable has type string
        b    corresponding variable is a blob and will be sent in packets
   */
  /*
  $email = "myemal@free.fr" ;
  $stmt->bind_param('s',$email);
  */
   /* execute query */
   $stmt->execute();
 
   /* Store the result (to get properties) */
   $stmt->store_result();
 
   /* Get the number of rows */
   $num_of_rows = $stmt->num_rows;
   echo $num_of_rows;
 
   /* Get the result */
   $result = $stmt->get_result();
 
   while ($row = $result->fetch_assoc()) {
     echo 'Firstname: '.$row['user_firstname'].'<br>;';
   }
 
   /* free results */
   $stmt->free_result();
 
   /* close statement */
   $stmt->close();
}

Le echo $num_of_rows; me renvoie bien 3.

Quelqu'un a une idée ? J'ai l'impression que ça viendrait d'un problème de configuration du serveur.

Merci.

[defacta]

J'ai réussi l'équivalent en 3 lignes de codes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
$sql = $mysqli->query("SELECT * FROM user where 1") ;
echo $sql->num_rows ;
while($row = $sql->fetch_array()) {
  echo $row["user_firstname"]."<br>" ;
}

Pourquoi certains utilisent toutes ces méthodes ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
->prepare()
->execute()
->bind()
->store_result()
->get_result()

Ils sont payés à la ligne de code ?

[sabotage]

La préparation sert quand il y a un paramètre. C'est le "?" dans la requête de ton exemple.

[defacta]

Oui je sais, mais on peut directement coder une requête comme suit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$sql = $mysqli->query("SELECT * FROM user WHERE user_email = \"".$email."\""") ;

Je me demandais, est-ce que passer par les méthode prepare() et bind() fait que le code est plus sécurisé ?

Merci,
Vincent.

[JujuPomme]

Yop,

Les requêtes préparées ne sont pas sécurisées à 100%... Cela dit, ça reste l'une des méthodes les plus simples et permettent de palier à de nombreux de problèmes sécuritaires.

Cf : http://php.net/manual/fr/mysqli.quic...statements.php

[sabotage]

Les requêtes préparées ne sont pas sécurisées à 100%.

Tu as une exemple d'une requête avec paramètre qui ne serait pas sécurisée ?

[JujuPomme]

Erreur de ma part, j'ai lu la doc de travers.

Il est pas précisé si elles le sont pleinement, mais a priori, ça reste le moyen le plus sécurisé de passer des arguments pour protéger ses requêtes...

My bad.

[defacta]

Oui en effet, cela est plus sécurisé.

Comme quoi, la première faiblesse d'une application reste son développeur.

Merci pour vos réponses.