Discussion :

[hugo69]

Bonjour,

J'ai un GET sur une lettre envoyée par le biais d'un lien.

Je voudrais chercher dans une table les resultats dotn le nom des personnes commencent par cette lettre, mais je ne m'en sort pas:


Voila ce qu'était mon idée:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
	$alpha = $_GET['alpha'];
 
	$sql= " SELECT  id, nom, prenom							
			FROM user
			WHERE substr(nom,0,1) = $alpha 
		  ";

Je pense que ca peux la stupidité de ce code (du php dans du une requete mysql) montre bien quel est le but à attendre.

Merci bcp

[billoum]

Salut,

pour ta condition:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 WHERE nom LIKE '$alpha%'

Sinon pour extraire une sous-chaine en SQL:
http://sql.developpez.com/sqlaz/select/#L4.4

a+

[hugo69]

on pouvait pas esperer mieux, deux solutions à 1 probleme.

Merci à toi et bon WE.

[Yogui]

Salut

N'oublie pas de bien extraire la première lettre de ta chaîne, sans l'utiliser telle quelle, sans quoi tu t'exposes à une injection SQL.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
   $alpha = $_GET['alpha']{0};
 
   $sql= " SELECT  id, nom, prenom                     
         FROM user
         WHERE nom LIKE '$alpha%'
        ";

[hugo69]

c'est quoi une injection monsieur?

[wishmastah]

c'est profiter du fait que tu utilises un truc modifiable comme le visiteur le souhaite directement pour agir sur ta base de donnée.

[hugo69]

rien compris....

[wishmastah]

si tu utilises ta variable passée en paramètre directement, l'utilisateur mal intentionné peut y mettre une requête SQL qui sera executée par ta page.

exemple il remplace

?lettre=a

par

?lettre=a") mysql_query("TOUT CASSER") et ça va insérer ce bout dans ton code. (en gros)

[hugo69]

Ok jai bien compris.

Merci beaucoup.

C'est bon à savoir ca.