Discussion :

[laurentSc]

Bonjour,

je voudrais savoir comment faire ce qui est dit dans le titre.

Cas concret :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
$sql_insert = <<<sql
INSERT INTO li_license
( LI_activate_date )
VALUES (
     UtilFct::convertDateSQL( '31/07/2021' )
)
sql;

La méthode convertDateSQL de la classe UtilFct est une méthode statique mettant les dates au format SQL (YYYY-MM-DD). Si je laisse comme cela, la ligne 5 n'est pas interprétée, donc je retrouve du code PHP dans la variable $sql_insert . Comment faire pour qu'elle soit interprétée ?

[Séb.]

L'astuce est de passer par un wrapper, ici une fonction fléchée $convert, ainsi le {$ sera bien reconnu et exécuté au sein de la chaîne $sql.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
$convert = fn($date) => $pdo->quote(UtilFct::convertDateSQL($date));
 
$sql = <<<SQL
    INSERT INTO li_license
    SET LI_activate_date = {$convert('31/07/2021')}
    SQL;

Vu que de toute façon il faut faire un quote() ça peut revenir à cela :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$sql = <<<SQL
    INSERT INTO li_license
    SET LI_activate_date = {$pdo->quote(UtilFct::convertDateSQL('31/07/2021'))}
    SQL;

Ceci dit pour ton cas je resterais plutôt sur du SQL :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$sql = <<<SQL
    INSERT INTO li_license
    SET LI_activate_date = STR_TO_DATE({$pdo->quote('31/07/2021')}, '%d/%m/%Y')
    SQL;

https://dev.mysql.com/doc/refman/8.0...on_str-to-date

[jreaux62]

Bonjour,

Pour CE "Cas concret", même pas en rêve.

1- déjà, on ne voit pas l'intérêt de la syntaxe heredoc ici

2- quoi qu'il arrive,

• on effectue une requête préparée,
• et on passe les données PHP en paramètres à l'exécution.

@Seb.
Tu n'aurais pas mixé les syntaxes de INSERT et UPDATE ?

[Séb.]

1- déjà, on ne voit pas l'intérêt de la syntaxe heredoc ici

Avoir une belle chaîne et du code lisible, àmha c'est suffisant pour justifier le HEREDOC dès qu'on a un retour à la ligne à présenter.

2- quoi qu'il arrive,

• on effectue une requête préparée,
• et on passe les données PHP en paramètres à l'exécution.

Je ne serais pas aussi affirmatif. Une requête préparée n'est utile que si on la répète.

@Seb.
Tu n'aurais pas mixé les syntaxes de INSERT et UPDATE ?

Si, et cette syntaxe est beaucoup plus lisible (et donc moins bugogène) que le traditionnel INSERT/VALUES où les paires disparaissent.

[jreaux62]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
$sql_insert = "
     INSERT INTO li_license
     ( 
          LI_activate_date 
     ) VALUES (
          :activate_date
     );";

C'est tout aussi lisible.

Question de choix personnel, et d'habitude, sans doute.

[Séb.]

C'est tout aussi lisible.

La lisibilité décroit avec l'augmentation du nombre de colonnes.

De plus ici la moitié des caractères envoyés au serveur SQL sont des indentations inutiles à la requête. Tu créés du trafic pour rien. Un trafic que tu n'aurais pas avec du HEREDOC.

[laurentSc]

Bonjour,

mon silence n'est pas dû à mon désintérêt (bien au contraire, et merci pour vos interventions) mais au fait qu'ayant voulu essayer la proposition de Séb. (je crois, avant que jreaux62 n'intervienne), j'ai introduit un bug ; je ne sais pas où et n'arrive pas à le corriger. J'ai du coup chargé une sauvegarde (ancienne ) mais comme depuis j'ai aussi modifié la bdd, ça ne fonctionne pas non plus...

[Nightfall]

Je ne serais pas aussi affirmatif. Une requête préparée n'est utile que si on la répète.

Une requête préparée est utile pour se protéger des injections sql. En plus, on voit dans l'autre fil de discussion que t'utilises les requêtes préparées avec PDO donc il faut t'en servir, tu n'auras plus à mettre de php dans la requête.

[laurentSc]

En plus, on voit dans l'autre fil de discussion que t'utilises les requêtes préparées avec PDO donc il faut t'en servir, tu n'auras plus à mettre de php dans la requête.

Avec la classe géniale de Rawsrc (PDOPlusPlus) les requêtes sont systématiquement préparées...La conversion de date au format SQL, il faudra que je la fasse sur une ligne préalable, avant l'exécution de la requête.

[Nightfall]

OK, je ne connaissais pas. Par contre, apparemment il faut utiliser ta variable PDOPlusPlus pour injecter tes paramètres, ce que tu as fait dans l'autre fil mais pas dans le code que tu as donné ici. Si tu mets le paramètre dans ta requête en mettant directement une variable $date ou en appelant juste ta méthode statique, ce n'est pas un paramètre de requête préparée. Pour les prochaines fois, essaie de donner un petit plus de code (voire le contexte, cf l'autre fil) sinon on risque de répondre à côté.

Je mets un copié-collé de la doc PDOPlusPlus :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
include 'PDOPlusPlus.php';
 
$ppp  = new PDOPlusPlus();
$film = $data[0];
$sql  = <<<sql
INSERT INTO t_video (video_title, video_support, video_multilingual, video_chapter, video_year, video_summary, video_stock)
     VALUES ({$ppp($film['title'])}, {$ppp($film['support'])}, {$ppp($film['multilingual'], 'bool')},
             {$ppp($film['chapter'], 'int')}, {$ppp($film['year'], 'int')}, {$ppp($film['summary'])}, 
             {$ppp($film['stock'], 'int')})
sql;
$new_id = $ppp->insert($sql);   // $new_id = 1 (lastInsertId())

[laurentSc]

OK, mais au début de cette discussion, il n'était pas question de PDOPlusPlus, et il ne me semblait pas utile de donner plus de contexte. Cela dit, je crois que tu as raison et qu'il aurait fallu écrire :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
$sql_insert = <<<sql
INSERT INTO li_license
( LI_activate_date )
VALUES (
    {$ppp( UtilFct::convertDateSQL( '31/07/2021' ) )}
)
sql;

et si j'avais réalisé, oui, il aurait fallu donner plus de contexte, pour expliquer la variable $ppp...

[Séb.]

Une requête préparée est utile pour se protéger des injections sql.

Pas seulement. Le but d'une requête préparée est :
-- D'établir le schéma d'exécution SQL 1 fois pour X requêtes ~identiques
-- De protéger des injections

Sachant qu'un $pdo->quote() offre le même niveau de protection contre les injections qu'une requête préparée, il n'y a donc aucun intérêt à préparer une requête pour un simple SELECT/INSERT/UPDATE isolé.

Avec la classe géniale de Rawsrc (PDOPlusPlus) les requêtes sont systématiquement préparées...

À moins que tes requêtes ne soient dans des boucles, ça ne sert à rien de les préparer systématiquement si leurs arguments sont passés en dur.

La conversion de date au format SQL, il faudra que je la fasse sur une ligne préalable, avant l'exécution de la requête.

Il y a une fonction SLQ STR_TO_DATE() pour cela, exemple plus haut.

[laurentSc]

À moins que tes requêtes ne soient dans des boucles, ça ne sert à rien de les préparer systématiquement si leurs arguments sont passés en dur.

Certes, mais je préfère utiliser partout la même technique pour exécuter les requêtes SQL. C'est plus simple.

Il y a une fonction SQL STR_TO_DATE() pour cela, exemple plus haut.

Oui, j'ai pas oublié. Première étape : refaire marcher mon appli, sans cette partie...