Discussion :

[JimDraw]

Bonsoir à tous,

Sur mon blog, je dispose d'un formulaire de recherche basique (un input de type search) et d'une requête que voici :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$search = htmlspecialchars($_GET['search']);
	if ($search AND $search != "") {
		$req = $bdd->prepare("SELECT * FROM annonce WHERE titre LIKE '%$search%' OR contenu LIKE '%$search%' OR codePostal LIKE '%$search%' ORDER BY date DESC") or die(print_r($bdd->errorInfo()));
		$req->execute(array($search)) or die(print_r($req->errorInfo()));

J'aimerais échapper certains caractères surtout la guillemet simple qui fait planter la requête puisqu'elle comporte

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

'%$search%'

.

J'ai testé les caractères suivant : # ! ^ $ ( ) [ ] { } ? + * . \ | tous à la suite je n'ai pas eu de problème...

Je n'ai donc pas trouvé d'autres caractères pouvant causer problème. SI vous en connaissez dites le moi, merci

[rawsrc]

Salut,

je t'invite à relire un peu la doc de PDO parce que la manière dont tu l'utilises lui retire absolument tout son intérêt

On utilise des placeholder dans le SQL et pas la valeur de la variable :

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
  SELECT * 
    FROM annonce 
   WHERE 
         titre LIKE '%:search%' 
         OR contenu LIKE '%:search%' 
         OR codePostal LIKE '%:search%' 
ORDER BY 
         date DESC

[sabotage]

De mémoire, les % ne peuvent être mis dans la requête, il faut les ajouter à la valeur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
$req = $bdd->prepare("SELECT * FROM annonce WHERE titre LIKE :search");
$req->execute(array('%' . $_GET['search'] . '%'))

Sinon rawsrc a raison : tu utilises PDO comme on utilisait l'ancien pilote mysql.
Enlève tes "or die()" ; si tu veux les erreurs, tu as juste à activer les exceptions sur ta connexion.
http://php.net/manual/fr/pdo.error-handling.php

[rawsrc]

oui sabotage a raison, tu dois sortir les % de la chaine SQL et les ajouter à la valeur.

[JimDraw]

Il n'existe pas des masses de tuto pour PDO donc je l'utilise un peu comme j'ai appris :s

Sabotage : Je ne peux pas juste mettre ":search", si ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$req = $bdd->prepare("SELECT * FROM annonce WHERE titre LIKE :search OR contenu LIKE :search OR codePostal LIKE :search ORDER BY date DESC") or die(print_r($bdd->errorInfo()));
		$req->execute(array('%' . $search . '%')) or die(print_r($req->errorInfo()));

Voici l'erreur que j'ai :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Array ( Array ( [0] => HY093 [1] => [2] => ) 1

[Invité]

Bonjour,
voici un bon tuto => Comprendre PDO

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
$query = "SELECT * 
	FROM annonce 
	WHERE titre LIKE :search 
	OR contenu LIKE :search 
	OR codePostal LIKE :search 
	ORDER BY date DESC";
try {
	$req = $bdd->prepare($query);
	$req->bindValue(':search', '%'.$search.'%', PDO::PARAM_STR);
	$req->execute();
} catch (PDOException $e) { echo 'Erreur SQL : '. $e->getMessage().'<br/>'; die(); }

En supposant d'avoir activé avant la gestion d'erreur PDO.

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

	$bdd->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);