IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

PHP & Base de données Discussion :

Echapper les caractères potentiellement dangereux pour une requête SQL avec LIKE [PDO]


Sujet :

PHP & Base de données

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre averti
    Profil pro
    Inscrit en
    Mars 2012
    Messages
    67
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2012
    Messages : 67
    Par défaut Echapper les caractères potentiellement dangereux pour une requête SQL avec LIKE
    Bonsoir à tous,

    Sur mon blog, je dispose d'un formulaire de recherche basique (un input de type search) et d'une requête que voici :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    $search = htmlspecialchars($_GET['search']);
    	if ($search AND $search != "") {
    		$req = $bdd->prepare("SELECT * FROM annonce WHERE titre LIKE '%$search%' OR contenu LIKE '%$search%' OR codePostal LIKE '%$search%' ORDER BY date DESC") or die(print_r($bdd->errorInfo()));
    		$req->execute(array($search)) or die(print_r($req->errorInfo()));
    J'aimerais échapper certains caractères surtout la guillemet simple qui fait planter la requête puisqu'elle comporte .

    J'ai testé les caractères suivant : # ! ^ $ ( ) [ ] { } ? + * . \ | tous à la suite je n'ai pas eu de problème...

    Je n'ai donc pas trouvé d'autres caractères pouvant causer problème. SI vous en connaissez dites le moi, merci

  2. #2
    Expert confirmé
    Avatar de rawsrc
    Homme Profil pro
    Dev indep
    Inscrit en
    Mars 2004
    Messages
    6 142
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Dev indep

    Informations forums :
    Inscription : Mars 2004
    Messages : 6 142
    Billets dans le blog
    12
    Par défaut
    Salut,

    je t'invite à relire un peu la doc de PDO parce que la manière dont tu l'utilises lui retire absolument tout son intérêt

    On utilise des placeholder dans le SQL et pas la valeur de la variable :
    Code sql : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
      SELECT * 
        FROM annonce 
       WHERE 
             titre LIKE '%:search%' 
             OR contenu LIKE '%:search%' 
             OR codePostal LIKE '%:search%' 
    ORDER BY 
             date DESC

  3. #3
    Modérateur
    Avatar de sabotage
    Homme Profil pro
    Inscrit en
    Juillet 2005
    Messages
    29 208
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations forums :
    Inscription : Juillet 2005
    Messages : 29 208
    Par défaut
    De mémoire, les % ne peuvent être mis dans la requête, il faut les ajouter à la valeur :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
     
    $req = $bdd->prepare("SELECT * FROM annonce WHERE titre LIKE :search");
    $req->execute(array('%' . $_GET['search'] . '%'))
    Sinon rawsrc a raison : tu utilises PDO comme on utilisait l'ancien pilote mysql.
    Enlève tes "or die()" ; si tu veux les erreurs, tu as juste à activer les exceptions sur ta connexion.
    http://php.net/manual/fr/pdo.error-handling.php
    N'oubliez pas de consulter les FAQ PHP et les cours et tutoriels PHP

  4. #4
    Expert confirmé
    Avatar de rawsrc
    Homme Profil pro
    Dev indep
    Inscrit en
    Mars 2004
    Messages
    6 142
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 49
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Dev indep

    Informations forums :
    Inscription : Mars 2004
    Messages : 6 142
    Billets dans le blog
    12
    Par défaut
    oui sabotage a raison, tu dois sortir les % de la chaine SQL et les ajouter à la valeur.

  5. #5
    Membre averti
    Profil pro
    Inscrit en
    Mars 2012
    Messages
    67
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2012
    Messages : 67
    Par défaut
    Il n'existe pas des masses de tuto pour PDO donc je l'utilise un peu comme j'ai appris :s

    Sabotage : Je ne peux pas juste mettre ":search", si ?

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    $req = $bdd->prepare("SELECT * FROM annonce WHERE titre LIKE :search OR contenu LIKE :search OR codePostal LIKE :search ORDER BY date DESC") or die(print_r($bdd->errorInfo()));
    		$req->execute(array('%' . $search . '%')) or die(print_r($req->errorInfo()));
    Voici l'erreur que j'ai :

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    Array ( Array ( [0] => HY093 [1] => [2] => ) 1

  6. #6
    Invité
    Invité(e)
    Par défaut
    Bonjour,
    voici un bon tuto => Comprendre PDO

    Code php : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    $query = "SELECT * 
    	FROM annonce 
    	WHERE titre LIKE :search 
    	OR contenu LIKE :search 
    	OR codePostal LIKE :search 
    	ORDER BY date DESC";
    try {
    	$req = $bdd->prepare($query);
    	$req->bindValue(':search', '%'.$search.'%', PDO::PARAM_STR);
    	$req->execute();
    } catch (PDOException $e) { echo 'Erreur SQL : '. $e->getMessage().'<br/>'; die(); }
    En supposant d'avoir activé avant la gestion d'erreur PDO.
    Code php : Sélectionner tout - Visualiser dans une fenêtre à part
    	$bdd->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. Aidez moi pour une requête SQL server
    Par pop10 dans le forum MS SQL Server
    Réponses: 6
    Dernier message: 19/06/2007, 22h15
  2. problème de syntaxe delphi pour une requête sql
    Par socooooool dans le forum Bases de données
    Réponses: 12
    Dernier message: 07/07/2006, 16h53
  3. Besoin d'aide pour une requête SQL
    Par Borami dans le forum Langage SQL
    Réponses: 1
    Dernier message: 07/11/2005, 10h33
  4. Réponses: 3
    Dernier message: 18/06/2005, 00h31
  5. Besoin d'aide pour une Requête SQL ...
    Par Kokito dans le forum Requêtes
    Réponses: 2
    Dernier message: 07/07/2004, 11h56

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo