Discussion :

[Zarkoffe]

Hello!
Joyeuses pâques

J'ai un petit soucis avec une fonction contenant une requête. Je dois insérer des ".

Dans une requête qui commence par cela aussi. Bref du code vaudra mieux que mes explications :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
    public function findAllEmargementsPassesParCours($em, $utilisateurProf, $idCours, $idCreneau)
    {
      return $em->createQuery(
        "SELECT p.prof, u.nomUtilisateur, u.prenomUtilisateur, c.nomUe, w.plageHoraire, d.dateCours, 
        u.id, f.nomFormation, po.datePointageEntree, po.partiEnAvance, po.dureePointage, po.datePointageSortie
        FROM App\Entity\CoursHoraires h
        INNER JOIN App\Entity\Cours c
        JOIN App\Entity\ProfCours p
        JOIN App\Entity\Utilisateur u
        JOIN App\Entity\PlageHoraire w
        JOIN App\Entity\DateCours d
        JOIN App\Entity\Formation f
        JOIN App\Entity\Pointage po
        WHERE h.plageHoraire = w.id
        AND h.cours = c.id
        AND c.id = p.cours
        AND c.id = '".$idCours."'
        AND w.id = '".$idCreneau."'
        AND h.dateCours = d.id
        AND u.formation = f.id
        AND u.formation = po.formation
        AND u.roles = '"["ROLE_USER"]"'
        "
        )->getResult();
    }

En effet ma requête en définie entre des "
Et je souhaite avoir la contrainte

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

u.roles = '"["ROLE_USER"]"'

Que je mette des ", ', ou les 2 : "' ou encore '", bref je n'ai pas réussis à faire tourner ce truc. Une idée?
Merci

[Toufik83]

Et si tu échappes les double quotes (") par un anti-slash :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
u.roles = '\"["ROLE_USER"]\"'

[rawsrc]

salut,

l'autre solution c'est d'utiliser la notation heredoc et il ne faut SURTOUT PAS faire les jonctions dans la clause WHERE mais dans la clause FROM qui est prévue pour.
Je pense que ta requête est incomplète, j'ai essayé de la reprendre mais il me manque un bout :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
$sql = <<<sql
SELECT p.prof, u.nomUtilisateur, u.prenomUtilisateur, c.nomUe, w.plageHoraire, d.dateCours, 
        u.id, f.nomFormation, po.datePointageEntree, po.partiEnAvance, po.dureePointage, po.datePointageSortie
  FROM 
       App\Entity\CoursHoraires h
       JOIN App\Entity\PlageHoraire  w ON w.id = h.plageHoraire
       JOIN App\Entity\DateCours     d ON d.id = h.dateCours
       JOIN App\Entity\Cours         c ON c.id = h.cours
           JOIN App\Entity\ProfCours p ON p.cours = c.id
              
       JOIN App\Entity\Utilisateur   u ON u.formation  = /** ICI IL MANQUE UN BOUT */
           JOIN App\Entity\Pointage po ON po.formation = u.formation
           JOIN App\Entity\Formation f ON f.id         = u.formation
 WHERE 
       c.id = {$idCours}
       AND w.id = {$idCreneau}
       AND u.roles = '["ROLE_USER"]'
sql;

[Invité]

Bonjour,

1- Le minimum est d'utiliser :

• PDO ->quote()
• mysqli ->real_escape_string()

2- Mais la VRAIE bonne solution est d'utiliser des requêtes préparées.

Ce n'est pas la 1ère fois qu'on te le dit...

[rawsrc]

on peut raisonnablement penser que ses deux variables $idCours et $idCreneau soient des entiers.
Mais cela n'empêche qu'il faut quand même soit les caster proprement soit les typer correctement.

[Invité]

Rien n'empêche de mettre ["ROLE_USER"] dans une variable $role = '["ROLE_USER"]';, et de la passer dans les paramètres de la requête préparée.

Sinon, je pense que l'échappement correct est :

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
"...
u.roles = '[\"ROLE_USER\"]'
..."