Discussion :

[michel71]

Bonjour,
j'ai cette erreur avec cette expression : l'appel du 18 juin

Fatal error: Uncaught PDOException: SQLSTATE[42000]: Syntax error or access violation: 1064 Erreur de syntaxe près de 'appel du 18 juin %' OR desi LIKE '%l'appel du 18 juin %' OR desi LIK' à la ligne 2 in

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
				$sql="SELECT id, desi, desi_supp FROM collec_0 WHERE
				desi LIKE '% ".$expression." %'	
				OR desi LIKE '%".$expression." %' 
				OR desi LIKE '% ".$expression."%' 
				OR desi_supp LIKE '% ".$expression." %'	
				OR desi_supp LIKE '%".$expression." %' 
				OR desi_supp LIKE '% ".$expression."%' ";
 
				$reponse = $bdd->prepare($sql);	
 
				$reponse->execute();

je n'ai pas d'idée sur ce qui pose problème (peut être " ' " ??)

[mathieu]

pour ne pas avoir besoin de gérer les caractères spéciaux dans les variables, je vous conseille de passer par des requêtes préparées :
https://www.php.net/manual/fr/pdo.prepare.php

[michel71]

Elle est pas préparée ma requête ? $reponse = $bdd->prepare($sql);

[valaendra]

Requêtes préparées = la structure de la requête (code SQL) est séparée des données de la requête (les variables qu'on envoie dans la requête).

En résumé et en version simplifiée, la requête est exécutée en 3 temps :

1) Transmission du code SQL de la requête (la structure)
2) Injection des variables (les données)
3) Exécution de l'ensemble (le driver ou le sgbd va compiler l'ensemble et l'exécuter)


Consultez le lien que Mathieu vous a proposé, vous y verrez plus clair avec les exemples qui s'y trouvent.

[michel71]

Bonjour,
rien compris, à mon age j'ai la comprenette un peu lente !!!
dans mon code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
				$sql="SELECT id, desi, desi_supp FROM collec_0 WHERE
				desi LIKE '% ".$expression." %'	
				OR desi LIKE '%".$expression." %' 
				OR desi LIKE '% ".$expression."%' 
				OR desi_supp LIKE '% ".$expression." %'	
				OR desi_supp LIKE '%".$expression." %' 
				OR desi_supp LIKE '% ".$expression."%' ";
 
				$reponse = $bdd->prepare($sql);	
 
				$reponse->execute();

j'ai bien ma structure sql que je transmet à "prepare"

mon code fonctionne puisque si j'ai comme expression "de Gaule" je n'ai pas d'erreur c'est donc bien l'apostrophe qui pose problème.

Avant je travaillai avec mysqli et j'avais la fonction mysqli_real_escape_string pour résoudre ce problème mais avec PDO je ne l'ai plus

J'essaie de comprendre le PDO, alors si quelqu'un peut me mettre le code qui fonctionne je suis preneur, car je souhaite passer tout le site en PDO
à moins que PDO ne soit pas adapté pour ce genre de requêtes

Merci et bonne journée

[Paraffine]

Quand la valeur de la variable est intégrée directement au texte SQL, on ne peut plus appeler cela une requête préparée, ou paramétrée.
L'idée est de pourvoir réutiliser cette requête avec des valeurs différentes.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
	// 1 - prépare la requête - structure ONLY, pas de VARIABLE, un PARAMETRE
	$requete = $bdd->prepare("SELECT * FROM collec_o WHERE desi  like CONCAT('%', :param, '%') or desi_supp  like CONCAT('%', :param, '%'); ");
 
	// 2 - lie la variable $expression au paramètre :param de la requête préparée
	$requete->bindValue(':param', $expression, PDO::PARAM_STR);
 
	//3 - exécution !
	$requete->execute();

Dans la mesure où '%' désigne un nombre indéfini de caractères, la condition " desi like '%truc%' " inclut les enregistrements qui vérifient " desi like '% truc%' " ou "desi like '%truc %' "
Lorsque l'on veut tester un nombre particulier de positions, il faut utiliser un ou des caractères de substitution '_', (=correspond à 1 caractère).