Discussion :

[EvilAngel]

Salut à tous,

en lisant des sources à droite à gauche j'ai vu qu'il existait deux façons de créer des requetes SQL avec des variables.
La concaténation:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$query="insert into <matable> values (".$valeur1.",".$valeur2.",...)";

Ou l'utilisation de sprintf:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$query= sprintf("insert into <matable> values (%s,%s,....)",$valeur1,$valeur2)

Quelle méthode conseilleriez-vous ?
Quels avantages/incovénients ?

Merci

[julp]

Vous en oubliez une : l'interpolation :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$query="insert into <matable> values ('$valeur1','$valeur2',...)";

Je vous recommande la plus lisible, la plus facile à maintenir donc l'interpolation ou bien sprintf pour des requêtes qui sont longues/compliquées.


Julp.

[EvilAngel]

La fonction Sprintf me paraît moins lisible, mis c'est un avis personnel.

Dans le cas de l'interpolation, comment faire pour que les variables contenant des chaines de caracteres soient échappées avec des simple quote comme lre reclame MySQL.

Je m'explique, voici comment je fais en concatenation:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$query="INSERT INTO <matable> VALUES ('".$unechaine."','".$une_autre_chaine."'....);

[Fladnag]

dans le cas d'un gros INSERT, il peut devenir compliqué, avec l'une ou l'autre methode, de voir quel champ est affecté a quel valeur, car contrairement a l'UPDATE, ils ne ont pas a coté.

a moins de faire qqchose comme ca :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
INSERT INTO table(	champ1,		champ2,		champ3,		champ4)
VALUES		(	'valeur1',	'valeur2',	'valeur3',	'valeur4')

Il serait peut etre mieux alors de passer par une génération automatique de la requete a partir d'un tableau associatif simple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
$insert=array(
'champ1'=>'valeur1',
'champ2'=>'valeur2',
'champ3'=>'valeur3',
'champ4'=>'valeur4'
);
 
foreach($insert as $k=>$v) {
	if (!is_numeric($v)) {
		$insert[$k]="'".mysql_real_escape_string($v)."'";
	}
}
 
$sql="INSERT INTO table(".implode(',',array_keys($insert)).") VALUES(".implode(',',$insert).")";

Mon exemple répond aussi a ta question : mysql_real_escape_string pour echapper correctement toute les données

[EvilAngel]

Donc une nouvelle technique...

[guitou12]

Pour ma part je conseille la concaténation.... mais ce n'était pas difficile à deviner