Discussion :

[ben256xp]

Bonjour à tous
Voilà j'ai un problème dans mon script php que je n'arrive pas à résoudre: ce script doit exécuter une requête préparé SQL qui dois modifier la structure d'une table:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$codeArticle="exemple";
$reponse = $bdd->prepare("ALTER TABLE commandes ADD ? INT(3) NOT NULL AFTER 'date_commande'");
$reponse->execute(array($codeArticle) or die (mysql_error()));

Une fois exécuté, il me retourne cette erreur:

Warning: PDOStatement::execute() expects parameter 1 to be array, boolean given in /(...)/debug.php on line 18

J'ai essayé plusieurs autres syntaxes sur la requête, ça ne change rien.
Pouvez-vous m'aider ? Merci d'avance.

[sabotage]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$reponse->execute(array($codeArticle));

[ben256xp]

Merci. L'erreur n’apparait plus mais la requête ne semble pas avoir aboutie car la modification de structure qu'elle doit faire n'apparait pas dans ma base de données...

Cela ne viendrais pas de la façon d'écrire la requête ? Merci d'avance pour vos réponses.

[sabotage]

Tu ne peux pas avoir un nom de colonne ou de table comme paramètre d'une requête préparée.

[ben256xp]

ah d'accord. Je suis donc obligé d'utiliser une requête non préparée pour que cela fonctionne, alors. Y-a-t il un moyen de la sécuriser malgré tous ? Car, sauf si je me trompe, requête non préparée = injection SQL potentielle .

J'avais lu quelque part qu'il existais une fonction "magic_quotes" mais est-ce bien cela ?

[rawsrc]

Salut,

Sans préparer la requête tu peux la sécuriser manuellement avec PDO::quote()