Discussion :

[cortoh]

Bonjour,
Dans mon script php j'ai une requête comme celle-ci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$sql = 'SELECT nom, prenom, age FROM Personne WHERE nom ="Dupont"';

Je souhaiterais remplacer la condition nom ="Dupont" par une variable qui sera transmise depuis mon Fla as3, j'ai donc écrit:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$nom = $_POST['want_nom'];
$sql = 'SELECT nom, prenom, age FROM Personne WHERE nom ='.$nom;

mais ça ne fonctionne pas, je commence tout juste dans le php et le sql, pouvez-vous m'aider à résoudre ce problème ?

[CosmoKnacki]

Ça ne fonctionne pas parce que la chaîne obtenue est SELECT nom, prenom, age FROM Personne WHERE nom =Dupont et qu'il manque les quotes autour de Dupont.
Mais quoi qu'il en soit, il ne faut surtout pas faire ça (c'est à dire introduire directement le contenu d'une variable dans une requête SQL), car c'est un trou de sécurité qui ouvre la porte aux injections SQL.
Tu dois utiliser des requêtes préparées (ça consiste à mettre un placeholder dans la requête qui ensuite sera remplacer par le contenu de ta variable dont certains caractères seront automatiquement échappés pour éviter les injections).

En utilisant PDO, ça donne ça:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
$dbh = new PDO('mysql:host=myhost;dbname=mydb', 'login', 'password');
 
$sql = 'SELECT nom, prenom, age FROM Personne WHERE nom = :nom';
 
$sth = $dbh->prepare($sql);
$sth->execute(array(':nom', $nom));

Cherche les tutoriels sur PDO et les requêtes préparées sur le site et regarde le manuel PHP.

[cortoh]

Euh oui, effectivement j'ai pas encore rencontré le PDO, je vais me pencher dessus, sinon j'ai modifié ma ligne comme ça et ça fonctionne.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$sql = 'SELECT nom, prenom, age FROM Personne WHERE nom="'.$nom.'"';

mais j'ai bien compris que ce n'est pas la bonne façon d'opérer côté sécurité.

[Invité]

Bonjour,

A LIRE en priorité :

• Comprendre PDO
• PDO une soupe et au lit !

[cortoh]

Bonjour j'ai message d'erreur:

Fatal error: Uncaught exception 'PDOException' with message 'could not find driver

.... dans notepad++ quand j'écris PDO il reste en grisé comme si il n'était pas reconnu, vous m'expliquer ce qui ce passe, svp ?
Mon php avec notepad++ et phpmyadmin.free.fr et Windows 10

[cortoh]

Bonjour,
Je n'ai trouvé aucune solution pour régler ce message d'erreur qui m'empèche du coup d'utiliser du PDO, quelqu'un pourrait-il m'aider svp ?

[CosmoKnacki]

Montre ton code.