Discussion :

[grophies]

Bonjour,

j'ai la requête suivante :

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM livres WHERE $critere LIKE '%$mot%' ORDER BY $critere $ordre

et j'aimerais la réécrire en PDO.

Voici comment je l'ai réécris :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
$req = $bdd->prepare('SELECT * FROM livres WHERE :critere LIKE :mot ORDER BY :critere :ordre');
		$req->execute(array(
			'mot' => $mot_cle,
			'critere' => '%$critere%',
			'ordre' => $ordre));

Mais quand je fais un test, avec un formulaire d'une autre page, ça n'affiche rien. Et pourtant, j'ai choisi un mot qui se trouve dans la base de données.

Donc, est-ce quelqu'un pourrait m'aider en me disant ce qui ne va pas dans ma requête ?

Merci d'avance.

Si besoin est voici mes deux pages :

d'abord la page du formulaire :

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
<!DOCTYPE html>
<html>
	<head>
		<meta charset="utf-8" />
		<link rel="stylesheet" type="text/css" href="aspect.css" />
 
		<style type="text/css">
                        body { background-color: lightyellow; }
                        div { margin: 100px 0px 50px; height: 320px; }
                        legend { font-size: 1.8em; }
                        .en_gras { font-weight: bold; }
                        hr { margin-top: 20px; width: 90%; }
                </style>
 
	</head>
 
	<body>
 
		<div>
 
			<form action="resultat_recherche.php" method="post">
 
				<fieldset>
					<legend class="en_gras">Recherche d'un livre</legend>
 
						<hr />
 
						<label for="mot_cle" class="en_gras">Mot(s) à chercher :&nbsp;&nbsp;&nbsp;&nbsp;</label>
						<input type="text" id="mot_cle" name="mot_cle" size="30" maxlength="20" /><br /><br />
 
						<label for="critere_recherche" class="en_gras">Critère de recherche :&nbsp;&nbsp;&nbsp;&nbsp;</label>
						<select name="critere_recherche" id="critere_recherche">
							<option value="titre">&nbsp;&nbsp;Titre&nbsp;&nbsp;</option>
							<option value="auteur">&nbsp;&nbsp;Auteur&nbsp;&nbsp;</option>
							<option value="editeur">&nbsp;&nbsp;Éditeur&nbsp;&nbsp;</option>
							<option value="date_parution">&nbsp;Date de parution&nbsp;&nbsp;&nbsp;</option>
						</select><br /><br />
 
						<p>
							<span class="en_gras">Par ordre&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;</span>
 
							<input type="radio" name="ordre" value="asc" checked="checked" id="croissant" />
							<label for="croissant">Croissant&nbsp;</label>
 
							<input type="radio" name="ordre" value="desc" id="decroissant" />
							<label for="decroissant">Décroissant&nbsp;</label><br /><br /><br />
 
						</p>	
 
						<input type="submit" value="Envoyer" />
						<input type="reset" value="Effacer" />
 
 
				</fieldset>
 
			</form>
 
		</div>
 
		<p>
			<a href="index.html">Page d'accueil</a><br /><br />
 
			<img src="../images/rechercher.gif" alt="recherche" />
		</p>
 
	</body>
</html>

et ensuite la page pour l'affiche des données :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
<!DOCTYPE html>
<html>
	<head>
		<meta charset="utf-8" />
		<link rel="stylesheet" type="text/css" href="aspect.css" />
	</head>
 
	<body>
 
		<?php
 
		$numpage_cible = "resultat_recherche";
 
		$numpage_source = $_GET['num_page'];
 
		$mot_cle = utf8_decode(htmlspecialchars($_POST['mot_cle']));
		$critere = utf8_decode(htmlspecialchars($_POST['critere_recherche']));
		$ordre = utf8_decode(htmlspecialchars($_POST['ordre']));
 
		try
		{
			$bdd = new PDO('mysql:host=localhost;dbname=bibliotheque', 'root', '');
		}
		catch (PDOException $e)
		{
			echo 'La base de données est actuellement indisponible, revenez plus tard !';
		}
 
		$req = $bdd->prepare('SELECT * FROM livres WHERE :critere LIKE :mot ORDER BY :critere :ordre');
		$req->execute(array(
			'mot' => $mot_cle,
			'critere' => '%$critere%',
			'ordre' => $ordre));
 
		while ($donnees = $req->fetch())
		{
			echo '<p><strong>' . utf8_encode(htmlspecialchars($donnees['titre'])) . '</strong> : ' . utf8_encode(htmlspecialchars($donnees['auteur'])) . '</p>';
		}
 
		$req->closeCursor();
 
	?>
 
	</body>
</html>

[Exia_]

Bonjour,

'critere' => '%$critere%',

la variable $critere ne sera pas interprété car tu utilise les caractère '', donc la chaîne de caractère que tu passera à ta requête sql sera : %$critere%.

Pour que ce soit la valeur de la variable $critere qui soit utilisé il faut soit utiliser les doubles quotes ("") :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

'critere' => "%$critere%",

soit passer par de la concaténation :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

'critere' => '%' . $critere . '%',

à toi de voir ce que tu trouve plus lisible.

[grophies]

J'ai essayé avec les doubles quotes et avec la concatenation et ça ne donne rien.

[Exia_]

Tu ne peut pas mettre en paramètre le nom des tables et des colonnes,

seul les valeurs peuvent être paramétré.

ta requête donnerait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$req = $bdd->prepare("SELECT * FROM livres WHERE $critere LIKE :mot ORDER BY $critere $ordre");
		$req->execute( array('mot' => $mot_cle) );

Vue que le nom de la colonne ne doit pas venir de l'utilisateur il n'y a aucun danger, parcontre la valeur qui peut être la valeur reçu d'un formulaire doit être sécurisé.

[armel18]

cette requête est fausse:

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM livres WHERE $critere LIKE '%$mot%' ORDER BY $critere $ordre

la clause where compare une colonne de ta table à une variable. Or dans ton cas tu ne spécifies pas cette colonne.idem pour ORDER BY

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM livres WHERE colonne LIKE :mot ORDER BY colonne :ordre

[k'amm]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
$req = $bdd->prepare('SELECT * FROM livres WHERE :critere LIKE :mot ORDER BY :critere :ordre');
		$req->execute(array(
			'mot' => $mot_cle,
			'critere' => '%$critere%',
			'ordre' => $ordre));

En remplaçant les variables par leur valeur dans la requête préparée, j'aboutis à ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT * FROM livres WHERE %$critere% LIKE $mot_cle ORDER BY %$critere% $ordre

Tu aurais pas inversé $critere et $mot_cle ?

De plus, tu dois préfixer tes clés par ":" dans ton tableau :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
$req->execute(array(
	':mot' => '%'.$mot_cle.'%',
	':critere' => $critere,
	':ordre' => $ordre));

[Munn Li]

Sauf erreur de ma part il est nécessaire de séparer deux clauses de ORDER BY par une virgule, ce qui donnerait le code suivant (en conservant les corrections précédentes)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$req = $bdd->prepare('SELECT * FROM livres WHERE COLONNE1 LIKE :mot ORDER BY COLONNE1, COLONNE2');
$req->execute(array(':mot' => '%'.$mot_cle.'%');

[rawsrc]

Salut,

Tu dois gérer tes colonnes de filtrage et d'ordonnancement manuellement et pas avec PDO. PDO ne doit s'occuper que des valeurs en provenance de l'utilisateur.

Les noms des colonnes supportant le filtrage et le tri sont fournies par ton application et pas par l'utilisateur (il ne fait que les sélectionner dans une liste) donc tu dois les contrôler en fonction de ce qu'il est possible de faire. Imagine toi qu'un petit malin modifie manuellement le $_POST et qu'il te renvoie $_POST['critere_recherche'] = 'colonne_inexistante', ton script échouera à chaque fois.

Ensuite en base de données, on n'utilise pas htmlspecialchars() pour sécuriser les valeurs, cette fonction ne sert qu'à sécuriser le rendu HTML et rien d'autre.

j'ai repris ton script en tenant compte de ce que j'ai écris plus haut et en essayant de rester explicite :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
<?php
 
$mot_cle = (isset($_POST['mot_cle']))           ? utf8_decode($_POST['mot_cle'])           : '';
$critere = (isset($_POST['critere_recherche'])) ? utf8_decode($_POST['critere_recherche']) : '';
$ordre   = (isset($_POST['ordre']) )            ? utf8_decode($_POST['ordre'])             : '';
 
if (in_array($critere, array('titre', 'auteur', 'editeur', 'date_parution'), true))
{
    $colonne = $critere;
}
else
{
    echo 'Erreur : critère de filtrage invalide.';
    exit;
}
 
// si l'ordre de tri est incorrect ou inexistant par défaut : asc
$tri = (in_array($ordre, array('asc', 'desc'), true)) ? $ordre : 'ASC';
 
try
{
    $pdo = new PDO('mysql:host=localhost;dbname=bibliotheque', 'root', '');
}
catch (PDOException $e)
{
    echo 'La base de données est actuellement indisponible, revenez plus tard !';
    exit;
}
 
$sql =
<<<SQL
  SELECT *
    FROM livres
   WHERE {$colonne} LIKE CONCAT('%', :mot, '%')
ORDER BY {$colonne} {$tri}
SQL;
 
$req = $pdo->prepare($sql);
$req->execute(array(':mot' => $mot_cle);
 
// on factorise l'échappement et l'encodage
$hsc = function($p) { return htmlspecialchars(utf8_encode($p), ENT_QUOTES, 'UTF-8'); };
?>
<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8" />
    <link rel="stylesheet" type="text/css" href="aspect.css" />
</head>
<body>
    <?php while ($v = $req->fetch()): ?>
    <p><strong><?php echo $hsc($v['titre']) ?></strong> : <?php echo $hsc(v['auteur']) ?></p>
    <?php endwhile ?>
</body>
</html>

Une dernière chose, tu n'aurais pas à trimbaler les fonctions utf8_decode()/utf8_encode si tu prenais la peine d'encoder tes fichiers php en utf-8 sans BOM. Si t'es cohérent au niveau des encodages sur toute la ligne : scripts PHP (utf-8 sans BOM), base de données (collation utf-8) et charset HTML (utf-8), tu n'auras plus qu'à utiliser les fonctions mb_str* pour gérer correctement les chaines et rien d'autre (plus aucune prise de tête sur les encodages)

allez bon codage

[grophies]

Merci pour ton aide rawsrc, j'ai écrit tout ton code (ligne par ligne) pour comprendre son fonctionnement. Par contre pour l'execution, j'ai un problème de commentaires, je crois.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
$sql =
<<<SQL
  SELECT *
    FROM livres
   WHERE {$colonne} LIKE CONCAT('%', :mot, '%')
ORDER BY {$colonne} {$tri}
SQL;

Tout ce qui vient après <<<SQL est en commentaires. Alors est-ce que je dois enlever <<<SQL SQL; ? Et si oui, j'ai l'erreur suivante :

Parse error: syntax error, unexpected T_STRING in C:\wamp\www\mes_livres\resultat_recherche.php on line 33

Voici la ligne 33 :

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

FROM livres

qui fait partie de la requête :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
$sql = 
	SELECT *
	FROM livres
	WHERE {$colonne} LIKE CONCAT('%', :mot, '%')
	ORDER BY {$colonne} {$tri};