Discussion :

[Orang-]

Bonjour,

Dns l'intention de trier des données de façon sûre, voici le type de requête que je recherche :

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT id_donnee, date_donnee FROM donnee ORDER BY :tri ASC

Or tri qui est créé via un bindValue()

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

bindValue(':tri', $tri, PDO::PARAM_STR);

contient '$tri' et non $tri. Serait-il possible d'obtenir simplement $tri de façon à faire correspondre cette variable avec un nom de colonne ?

Merci

[Celira]

On ne peut pas préparer la structure de la requête, uniquement les données. D'où vient la variable $tri ?

[Invité]

Bonjour,
pas de bindValue dans ce cas.

Pour sécuriser la requête, tu peux utiliser un array des valeurs autorisées.
Ex.

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
$tri = ....; //(récupéré en get ou post ?)
$tri_array = ('id_donnee', 'date_donnee', ...............);
 
$orderby = ( in_array($tri, $tri_array) )? " ORDER BY ".$tri." ASC" : "";
 
$sql = "SELECT id_donnee, date_donnee FROM donnee".$orderby;

On peut imaginer changer de sens :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
$tri = ....; //(récupéré en get ou post ?)
$tri_array = ('id_donnee', 'date_donnee', ...............);
$sens = ....; //(récupéré en get ou post ?)
$sens_array = ('ASC', 'DESC');
 
$orderby = ( in_array($tri, $tri_array) && in_array($sens, $sens_array) )? " ORDER BY ".$tri." ".$sens : "";

[Orang-]

Celira, jreaux62 merci à vous
Mes données proviennent d'un $_GET effectivement, je vais passer par un tableau.