Discussion :

[ben256xp]

Bonjour à tous
Voilà j'ai un problème dans mon script php que je n'arrive pas à résoudre: ce script doit exécuter une requête préparé SQL qui dois modifier la structure d'une table:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$codeArticle="exemple";
$reponse = $bdd->prepare("ALTER TABLE commandes ADD ? INT(3) NOT NULL AFTER 'date_commande'");
$reponse->execute(array($codeArticle) or die (mysql_error()));

Une fois exécuté, il me retourne cette erreur:

Warning: PDOStatement::execute() expects parameter 1 to be array, boolean given in /(...)/debug.php on line 18

J'ai essayé plusieurs autres syntaxes sur la requête, ça ne change rien.
Pouvez-vous m'aider ? Merci d'avance.

[sabotage]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$reponse->execute(array($codeArticle));

[ben256xp]

Merci. L'erreur n’apparait plus mais la requête ne semble pas avoir aboutie car la modification de structure qu'elle doit faire n'apparait pas dans ma base de données...

Cela ne viendrais pas de la façon d'écrire la requête ? Merci d'avance pour vos réponses.

[sabotage]

Tu ne peux pas avoir un nom de colonne ou de table comme paramètre d'une requête préparée.

[ben256xp]

ah d'accord. Je suis donc obligé d'utiliser une requête non préparée pour que cela fonctionne, alors. Y-a-t il un moyen de la sécuriser malgré tous ? Car, sauf si je me trompe, requête non préparée = injection SQL potentielle .

J'avais lu quelque part qu'il existais une fonction "magic_quotes" mais est-ce bien cela ?

[rawsrc]

Salut,

Sans préparer la requête tu peux la sécuriser manuellement avec PDO::quote()

[ben256xp]

Merci ça fonctionne
Mais il a fallu que je rajoute, dans ma requête SQL, ce genre de quotes ( ` ` ) autour de ma variable pour que ça passe. De plus, des quotes ( ' ' ) apparaissent autour du nom de la nouvelle colonne. Je suis obligé de travailler avec ces quotes ou dois-je utiliser la fonction PDO::quotes() pour d'autres requêtes qui utilisent ces colonnes ?

[rawsrc]

Salut,

Dans la doc : il est dit

PDO::quote() place des guillemets simples autour d'une chaîne d'entrée, si nécessaire et protège les caractères spéciaux présents dans la chaîne d'entrée, en utilisant le style de protection approprié au pilote courant.

Donc tu as ta réponse et pour les caractères ``, il est préférable de les mettre autour des noms des tables, colonnes dans la mesure où cela désactive l'interprétateur du moteur de base de donnée.
Si tu as eu la mauvaise idée de nommer une colonne date (par exemple), sans la protéger tu auras une erreur alors qu'avec `date`, ça passera.
Généralement, on adopte une convention forte dans le nommage de manière à être certain de ne pas utiliser des mots-clefs du moteur (on emploie des préfixes et/ou des suffixes comme pour une table : t_nom_de_la_table, procédure : p_nom_de_la_procedure, vue : v_nom_de_la_vue...)

[ben256xp]

Merci pour l'explication et merci de m'avoir aidé
Donc pour les noms de colonnes et de tables, toujours utiliser ces quotes ` `.
c'est noté

Je passe en Résolu .

[rawsrc]

Toujours pas forcément, si tu suis une convention de nommage très stricte, tu peux très bien t'en passer du moment que t'as la certitude de ne pas interférer avec un mot réservé.