Discussion :

[icarius62]

Bonjour à vous,

Je me lance dans le PDO pour un petit projet pour mon entreprise et je bloque sur cette fonction :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
function nombre_log($search_word_fix) {
	global $connexion;
	$requete = $connexion->prepare('SELECT COUNT(*) FROM cc WHERE alliance LIKE :log');
	$requete->execute(array(':log' => $search_word_fix . '%'));
	$requete->fetchColumn();
	$requete->closeCursor();
	return $requete;
}

Cette fonction me permet de compter le nombre de "log" correspondant à une recherche en jquery.

Si aucune occurrence à ma recherche :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

else { echo "<li>Aucun Resultat</li>"; }

Voici le script complet :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
<?php
include("conf/db.php");
 
 
function nombre_log($search_word_fix) {
	global $connexion;
	$requete = $connexion->prepare('SELECT COUNT(*) FROM cc WHERE alliance LIKE :log');
	$requete->execute(array(':log' => $search_word_fix . '%'));
	$requete->fetchColumn();
	$requete->closeCursor();
	return $requete;
}
 
function liste_cc($log)
{
	global $connexion;
	$requete = $connexion->prepare('SELECT * FROM cc WHERE alliance LIKE :log');
	$requete->execute(array(':log' => $log . '%'));
	while($result = $requete->fetch(PDO::FETCH_ASSOC)) {
		$resultat[] = $result;
	}
	$requete->closeCursor();
	return $resultat;
} 
 
if(isset($_GET['search_word']))
{
		$search_word=$_GET['search_word'];
		$search_word_new=mysql_escape_string($search_word);
		$search_word_fix=str_replace(" ","%",$search_word_new);
 
	if($nombre_log($search_word_new) > 0)
	{
 
		$pL = liste_cc($search_word_new);
 
		foreach ($pL as $s)
		{
		$bold_word='<b><font color="red">'.$search_word.'</font></b>';
		$final_msg = str_ireplace($search_word, $bold_word, $s['alliance']);
		?>
 
		<li><?php echo $final_msg ?> - <?php echo $s['conseillers']; ?> - <?php echo $s['superviseur']; ?></li>
 
		<?php
		}
	}
	else { echo "<li>Aucun Resultat</li>"; }
}
?>

Je n'arrive pas à comprendre mon erreur, pouvez-vous me guider?

Cordialement,

[rawsrc]

Bonjour,

Si tu décide d'utiliser PDO, tu dois arrêter de faire appel à mysql_real_escape_string(). Quand tu prépares un sql et que tu lui passe des valeurs, ces dernières sont automatiquement sécurisées.

Voici ce que tu fais :
nombre_log() -> PDO
liste_cc() -> PDO
Dans le code principal tu fais en ligne 29 : mysql_escape_string()
En ligne 35 -> appel à liste_cc avec pour paramètre la variable trafiquée en ligne 29 !
Manipules tes données de manière brute et laisse PDO les sécuriser au dernier moment.

[icarius62]

Bonjour et merci de la réponse,

Je vais effectué le changement et re-tester, je vous tiens au courant.

Cordialement,

[icarius62]

Après modification de mon script comme tu m'as demandé rawsrc , tout est rentré dans l'ordre.
Merci pour la correction qui fût d'une grande aide.