Discussion :

[dashed]

Bonjour.

Je n'arrive pas à passer une variable dans ma requete, erreur de syntaxe?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
char recu[10]="tomate";
mysql_query(conn,"SELECT * FROM article WHERE article='recu'");

Tandis que si je lui passe directement 'tomate' ça fonctionne

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_query(conn,"SELECT * FROM article WHERE article='tomate'");

Une idée merci...

[dashed]

Voilà la réponse si ça interesse quelqu'un, on sait jamais .

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
sprintf(varsortie,SELECT * from article where article=('%s')", recu);
mysql_query(conn,varsortie);

[Obsidian]

Voilà la réponse si ça interesse quelqu'un, on sait jamais .

C'est ce qu'il y a de plus simple à première vue mais c'est une pratique fortement déconseillée par tout le monde, parce que c'est une des principales causes d'injection SQL, spécialement si le programmeur n'est pas sensibilisé à ce problème.

Dans le cas le moins grave, que se passerait-il, par exemple, si le mot que tu recherches et qui est inscrit dans « recu » contient une apostrophe ? Ta requête deviendrait syntaxiquement incorrecte et ça suffirait à faire planter ton programme. Dans le pire, si le mot à rechercher est saisi au préalable par l'utilisateur, il suffit d'écrire dans le champs de recherche un fragment de requête SQL qui complète l'existante et en profite pour passer d'autres ordres. Il faut alors utiliser des filtres de nettoyage ou « assainissement » (sanitize en anglais) pour mettre les bons caractères d'échappement aux éventuels caractères spéciaux qui auraient pu être transmis.

C'est une attaque très fréquente qui a été rendue célèbre en son temps par ce non moins célèbre strip signé XKCD : Exploits of a mom.

Cependant, c'est loin d'être la panacée. Tous les professionnels et amateurs avertis te diront qu'il vaut mieux utiliser « prepare » pour enregistrer une requête en passant des paramètres positionnels, puis en liant ces positions à tes variables. Ainsi, tu sépares explicitement la donnée à traiter de la requête SQL elle-même et, en prime, cela évite au serveur de ré-analyser la requête à chaque passage.

Regarde du côté de mysql_stmt_prepare.

[dashed]

Merci beaucoup, pour cette réponse complete. Je n'avais absolument pas envisagé ce cas de figure je te remercie de m'avoir averti.

[Bktero]

Pourquoi est ce que recu devrait être interprété comme une variable alors que tomate est laissée en string litteral, dans la requête ? Il n'y a pas de raison à cela. Il faut donc effectivement construire une chaîne avec snprintf de cette façon Il manque d'ailleurs le guillemet ouvrant.