Discussion :

[GYK]

Bonjour,

J'ai beau chercher sur le forum je ne vois pas la solution à mon problème compliqué pour moi, mais sans doute bien simple pour certains d'entres vous.

Voila je veux faire un UPDATE dans une table.
Le champ qui me sert de where peut contenir des apostrophes et j'ai justement un champ à modifier dans un de ces enregistrements.
Donc pour que ma requête ne génère pas d'erreur je suis obligé d'échapper ma variable de recherche dans la construction de celle-ci.
Alors que la correspondance existe, rien ne se passe et j' ai l'impression que ma requête cherche la correspondance à " \' ". Correspondance qu'elle ne peut effectivement pas trouvée puisque mon champ est construit sans l'échappement.
Quelqu'un à t'il une solution ?

Merci.

[escartefigue]

Bonjour,

Vous pouvez utiliser la valeur hexa
Cf. https://dev.mysql.com/doc/refman/5.7...-literals.html

Validez votre filtrage par un SELECT avant d'exécuter l'UPDATE

[GYK]

Bonjour escartefigue.

Merci pour ta réponse, mais malheureusement l'anglais et moi ce n'est pas ça, et donc le lien je n'y comprend rien. Dommage. C'était certainement une solution!

[escartefigue]

quelque chose comme ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
select col1, col2, ...
from ma_table
where hex(colx)=X'35B6C241'

Attention par contre : requête non sargable, si la table est volumineuse, les temps de réponse seront dégradés

[GYK]

En fait à la base c'est un tableau créé par scandir()
ton

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

X'35B6C241'

c'est un exemple ??
Si oui, comme moi c'est une variable créée du scandir je dois utiliser

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

X'$ma_variable'

??

[escartefigue]

Oui c'est un exemple, à remplacer par la valeur qui va bien

[GYK]

Est-ce que je dois laisser le addslashes avant de ma correspondance pour le where ? Je pense que non !
En tout cas cela ne marche pas avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

X'$ma_variable'

et avec ou sans addslashes j'ai une erreur de syntaxe

[Artemus24]

Salut GYK.

Voila je veux faire un UPDATE dans une table.

Rien de bien compliqué.

Le champ qui me sert de where peut contenir des apostrophes et j'ai justement un champ à modifier dans un de ces enregistrements.

Il existe plusieurs techniques pour remédier à ce genre de problème :

a) doubler l'apostrophe : ''.

b) utiliser le caractère d'échappement : \'.

c) utiliser la fonction "mysqli_real_escape_string()".
--> http://php.net/manual/fr/mysqli.real-escape-string.php

Alors que la correspondance existe, rien ne se passe et j' ai l'impression que ma requête cherche la correspondance à " \' ".

Un problème peut en cacher un autre.
Etes-vous certain d'utiliser le même charset sous php et sous mysql ?

Voici un exemple pour interroger une table en recherchant la ligne contenant une apostrophe.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
--------------
SET AUTOCOMMIT = 0
--------------
 
--------------
START TRANSACTION
--------------
 
--------------
DROP DATABASE IF EXISTS `base`
--------------
 
--------------
CREATE DATABASE `base`
        DEFAULT CHARACTER SET `latin1`
        DEFAULT COLLATE       `latin1_general_ci`
--------------
 
--------------
DROP TABLE IF EXISTS `test`
--------------
 
--------------
CREATE TABLE `test`
( `id`        integer unsigned  not null auto_increment primary key,
  `chaine`    varchar(255)      not null
) ENGINE=InnoDB
  DEFAULT CHARSET=`latin1` COLLATE=`latin1_general_ci`
  ROW_FORMAT=COMPRESSED
--------------
 
--------------
insert into `test` (`chaine`)  values
  ('L''apostrophe en la doublant'),
  ('L\'apostrophe avec le caractère d\'échappement'),
  ("L'apostrophe normal")
--------------
 
--------------
select * from `test`
--------------
 
+----+----------------------------------------------+
| id | chaine                                       |
+----+----------------------------------------------+
|  1 | L'apostrophe en la doublant                  |
|  2 | L'apostrophe avec le caractère d'échappement |
|  3 | L'apostrophe normal                          |
+----+----------------------------------------------+
--------------
select *
from `test`
where chaine like 'L''apostrophe%'
--------------
 
+----+----------------------------------------------+
| id | chaine                                       |
+----+----------------------------------------------+
|  1 | L'apostrophe en la doublant                  |
|  2 | L'apostrophe avec le caractère d'échappement |
|  3 | L'apostrophe normal                          |
+----+----------------------------------------------+
--------------
COMMIT
--------------
 
--------------
SET AUTOCOMMIT = 1
--------------
 
Appuyez sur une touche pour continuer...

Si c'est plus compliqué que cette exemple, donnez moi la description de votre table (ddl), un jeu d'essai qui vous pose problème et ce que vous faites comme requête.

@+

[GYK]

Bonjour Artemus24,

Je viens d'essayer en utilisant la fonction $mysqli->real_escape_string() et j'ai :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Fatal error: Call to a member function real_escape_string() on null in

C'est du à quoi ?

Merci

[Artemus24]

Salut GYK.

Vous vous y prenez mal.

Voici un exemple de ce qu'il faut faire en php :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
<!doctype html>
<html>
<head>
<meta charset="ISO_8859_1" />
<title>mysqli_real_escape_string</title>
 
<link rel="stylesheet" type="text/css" href="Css/Styles.css">
</head>
 
<body>
<h1>Fonction mysqli_real_escape_string() !</h1>
<pre>
<?php
header('Content-type: text/html; charset=ISO_8859_1');
 
require_once("Php/MySql_In.php");
 
$req1 = "select * from `test` where chaine like l'apostrophe";
$req2 = mysqli_real_escape_string($link, $req1);
 
echo "Avant --> ".$req1."\n";
echo "Après --> ".$req2."\n";
 
require_once("Php/MySql_Out.php");
?>
</pre>
</body>
</html>

Et voici le résultat de la mise en conformité de la requête MySql :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
Fonction mysqli_real_escape_string() !
Succès : localhost via TCP/IP
 
Avant --> select * from `test` where chaine like l'apostrophe
Après --> select * from `test` where chaine like l\'apostrophe

On remarque que l'apostrophe a été précédé par un back slash, c'est-à-dire le caractère d'échappement.

@+