Discussion :

[laurentSc]

Bonjour,

je voudrais savoir comment faire ce qui est dit dans le titre.

Cas concret :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
$sql_insert = <<<sql
INSERT INTO li_license
( LI_activate_date )
VALUES (
     UtilFct::convertDateSQL( '31/07/2021' )
)
sql;

La méthode convertDateSQL de la classe UtilFct est une méthode statique mettant les dates au format SQL (YYYY-MM-DD). Si je laisse comme cela, la ligne 5 n'est pas interprétée, donc je retrouve du code PHP dans la variable $sql_insert . Comment faire pour qu'elle soit interprétée ?

[Séb.]

L'astuce est de passer par un wrapper, ici une fonction fléchée $convert, ainsi le {$ sera bien reconnu et exécuté au sein de la chaîne $sql.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
$convert = fn($date) => $pdo->quote(UtilFct::convertDateSQL($date));
 
$sql = <<<SQL
    INSERT INTO li_license
    SET LI_activate_date = {$convert('31/07/2021')}
    SQL;

Vu que de toute façon il faut faire un quote() ça peut revenir à cela :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$sql = <<<SQL
    INSERT INTO li_license
    SET LI_activate_date = {$pdo->quote(UtilFct::convertDateSQL('31/07/2021'))}
    SQL;

Ceci dit pour ton cas je resterais plutôt sur du SQL :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$sql = <<<SQL
    INSERT INTO li_license
    SET LI_activate_date = STR_TO_DATE({$pdo->quote('31/07/2021')}, '%d/%m/%Y')
    SQL;

https://dev.mysql.com/doc/refman/8.0...on_str-to-date

[jreaux62]

Bonjour,

Pour CE "Cas concret", même pas en rêve.

1- déjà, on ne voit pas l'intérêt de la syntaxe heredoc ici

2- quoi qu'il arrive,

• on effectue une requête préparée,
• et on passe les données PHP en paramètres à l'exécution.

@Seb.
Tu n'aurais pas mixé les syntaxes de INSERT et UPDATE ?

[Séb.]

1- déjà, on ne voit pas l'intérêt de la syntaxe heredoc ici

Avoir une belle chaîne et du code lisible, àmha c'est suffisant pour justifier le HEREDOC dès qu'on a un retour à la ligne à présenter.

2- quoi qu'il arrive,

• on effectue une requête préparée,
• et on passe les données PHP en paramètres à l'exécution.

Je ne serais pas aussi affirmatif. Une requête préparée n'est utile que si on la répète.

@Seb.
Tu n'aurais pas mixé les syntaxes de INSERT et UPDATE ?

Si, et cette syntaxe est beaucoup plus lisible (et donc moins bugogène) que le traditionnel INSERT/VALUES où les paires disparaissent.

[jreaux62]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
$sql_insert = "
     INSERT INTO li_license
     ( 
          LI_activate_date 
     ) VALUES (
          :activate_date
     );";

C'est tout aussi lisible.

Question de choix personnel, et d'habitude, sans doute.

[Séb.]

C'est tout aussi lisible.

La lisibilité décroit avec l'augmentation du nombre de colonnes.

De plus ici la moitié des caractères envoyés au serveur SQL sont des indentations inutiles à la requête. Tu créés du trafic pour rien. Un trafic que tu n'aurais pas avec du HEREDOC.

[Nightfall]

Je ne serais pas aussi affirmatif. Une requête préparée n'est utile que si on la répète.

Une requête préparée est utile pour se protéger des injections sql. En plus, on voit dans l'autre fil de discussion que t'utilises les requêtes préparées avec PDO donc il faut t'en servir, tu n'auras plus à mettre de php dans la requête.

[laurentSc]

En plus, on voit dans l'autre fil de discussion que t'utilises les requêtes préparées avec PDO donc il faut t'en servir, tu n'auras plus à mettre de php dans la requête.

Avec la classe géniale de Rawsrc (PDOPlusPlus) les requêtes sont systématiquement préparées...La conversion de date au format SQL, il faudra que je la fasse sur une ligne préalable, avant l'exécution de la requête.

[Séb.]

Une requête préparée est utile pour se protéger des injections sql.

Pas seulement. Le but d'une requête préparée est :
-- D'établir le schéma d'exécution SQL 1 fois pour X requêtes ~identiques
-- De protéger des injections

Sachant qu'un $pdo->quote() offre le même niveau de protection contre les injections qu'une requête préparée, il n'y a donc aucun intérêt à préparer une requête pour un simple SELECT/INSERT/UPDATE isolé.

Avec la classe géniale de Rawsrc (PDOPlusPlus) les requêtes sont systématiquement préparées...

À moins que tes requêtes ne soient dans des boucles, ça ne sert à rien de les préparer systématiquement si leurs arguments sont passés en dur.

La conversion de date au format SQL, il faudra que je la fasse sur une ligne préalable, avant l'exécution de la requête.

Il y a une fonction SLQ STR_TO_DATE() pour cela, exemple plus haut.