Discussion :

[MaitrePylos]

bonjour, j'ai le contrôleur suivant

Code contrôleur :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
class MotSimpleController < ApplicationController
 
  def index 
    flash[:notice]=''
    @mots = DbProjet.find_by_sql("SELECT * FROM `motsphrase` ORDER BY RAND() LIMIT 1")
 
  end
 
  def reponse(motSelect)
 
    flash[:notice]='Où suis-je ?'
    @mots = DbProjet.find_by_sql('SELECT * FROM `motsphrase` WHERE reponse <> #{motSelect} + "ORDER BY RAND() LIMIT 6')
  end
end

et quand je passe une url de ce genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
mot_simple/reponse/poisson

il me répond qu'il me manque un paramètre????????????


Merci de votre aide.

[bolo]

Je ne crois qu'on puisse faire ca en tout ca des méthode public
il faut que tu utilises params[:motSelect]

[MaitrePylos]

Merci pour la piste.

La soluce

Code contrôleur :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
def reponse
    mot = params[:id]
    flash[:notice]='Où suis-je ?'
    @mots = DbProjet.find_by_sql("SELECT * FROM `motsphrase` WHERE reponse <>'#{mot}' ORDER BY RAND() LIMIT 6")
  end

[bolo]

je suis pas super fan find_by_sql. tu devrais faire autrement

@mots = DbProjet.find_by_sql("SELECT * FROM `motsphrase` WHERE reponse <>'#{mot}' ORDER BY RAND() LIMIT 6")

je nais pas comment est ton model mais tu dois pouvoir arriver a faire qqch comme ca ? (Non testé

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
DbProjet.find( :all, :limit => 6 , :conditions => ['reponse <> ', params[:mot]])

[MaitrePylos]

Le find_by_sql à certain avantages, comme ne pas apprendre tout le temps une syntaxe différente.


Mais pour la beauté du langage voici la solution (testé)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
@mots = DbProjet.find( :all,  :conditions => :reponse != params[:id],:order => "RAND()",:limit => 5)

J'ai eu un peu de difficulté avec la condition.

en sql différent c'est <> , en langage de programmation != .

Et puis je récupère directement la params[:id], ce qui est pas mal

[bolo]

c'est surtout un problème au niveau de la sécurité

[MaitrePylos]

c'est surtout un problème au niveau de la sécurité

tu penses qu'il est plus facile de faire l'injection sql avec un find_by_sql?

[bolo]

d'apres lecture oui, ActiveRecord te protèges de cela. Il faut utilisé find_by_sql en dernier quand les assos ne sont plus suffisantes

[Taum]

tu penses qu'il est plus facile de faire l'injection sql avec un find_by_sql?

Ca dépend en fait
Si tu fais :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

@mots = DbProjet.find_by_sql("SELECT * FROM `motsphrase` WHERE reponse <> '#{mot}' ORDER BY RAND() LIMIT 6")

Il n'y aucun échappement effectué et il y a un risque d'injection SQL au niveau de la variable mot (qui est collée directement dans la requête sans vérification).

En revanche tu peux échapper ta requête en fesant comme avec un find classique :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

@mots = DbProjet.find_by_sql(["SELECT * FROM `motsphrase` WHERE reponse <> ? ORDER BY RAND() LIMIT 6", mot])

Auquel cas la variable sera échappée si nécessaire par ActiveRecord

[MaitrePylos]

Auquel cas la variable sera échappée si nécessaire par ActiveRecord

Et bien voila