Discussion :

[NapsterVB]

Bonjour,

mon code fonctionne pas avec cette methode , avant avec le CRUD fonctionne a merveille
mais quand je recupere la valeur avec AJAX , ne s'affiche dés chargemenet de la page .

avec ce code, en principe il affiche des donner meme c'est $_POST['cat']

mais dans mon cas ça donne rien , saud si le $_POST['cat'] et non empty.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
 
if(empty($_POST['cat'])){
    $query_filter = '';
}else{
    $query_filter = (' WHERE Categorie like "'.addslashes($_POST['cat']).'"');
}
$query= "SELECT * FROM Vedettes".$query_filter;
$statement = $connect->prepare($query);
if($statement->execute())
{
    $result = $statement->fetchAll();
    $output = '';
    foreach($result as $row)
    {
        $output .= '<a class="blocc" href="#">  '.$row["Titre"].' </a>';
 
    }
    echo $output;
}

[RV80]

Bonjour,

Alors dans un premier temps il faut déjà penser à utiliser des PreparedStatements. Addslashes peut être bypassé et donc tu es possiblement vulnérable à une SQL injection.
Réellement quand vous traitez des données pouvant être modifiées par un attaquant -> Prepared Statements !
Après pourquoi vous vous compliquez la vie à ce point, pourquoi ne pas faire quelque chose du style:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
 
if(empty($_POST['cat'])){
        $statement = $connect->prepare("SELECT * FROM Vedettes");
}
else
{
        $statement = $connect->prepare("SELECT * FROM Vedettes WHERE Categorie like ?");
        $statement->bind_param("s", $_POST['cat']);
}
if($statement->execute())
{
	$result = $statement->fetchAll();
	$output = '';
	foreach($result as $row)
	{
                    $output .= '<a class="blocc" href="#">  '. htmlspecialchars($row["Titre"], ENT_QUOTES, 'UTF-8').' </a>';
        }
	echo $output;
}

J'ai aussi ajouté un htmlspecialchars() pour éviter les XSS au cas ou les données en base ne sont pas totalement contrôlé non plus .

[NapsterVB]

Merci Hervé , pour tes precieuse réponse .
j'appricié ce style de codage , mais je l'ai d.ja essayé et ça ne pas marcher.

[Toufik83]

Bonjour,

Apparemment c'est parce que ta requête n'est pas correcte, car tu ajoutes des doubles quotes "" autour de la valeur recherchée + l'absence du modulo "%" dans la clause like :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
else{
	$query_filter = ' WHERE Categorie like ?';//pas la peine de mettre des parenthèses ici..
        $statement->bind_param("s", "%".$_POST['cat']."%");
}