Discussion :

[deY!]

Bonjour,

Je n'arrive pas à affecter de valeur à une clause ORDER BY à l'aide d'un bindParam.

Le code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
$stmtAvailable	= $dbh->prepare('SELECT id_template as id_element, nom_template as nom_element, duree
FROM template
WHERE id_afficheur = :id_afficheur
AND id_client = :id_client
AND id_template NOT IN (SELECT id_template
				FROM template_playlist
				WHERE id_playlist = :id_playlist)
ORDER BY :orderby');
$stmtAvailable->bindParam(':id_afficheur', $id_afficheur, PDO::PARAM_INT);
$stmtAvailable->bindParam(':id_client', $myClient, PDO::PARAM_INT);
$stmtAvailable->bindParam(':id_playlist', $myPlaylist, PDO::PARAM_INT);
$stmtAvailable->bindParam(':orderby', $codeTri);

Me retourne une PDOException : "non integer constant in ORDER BY". Or $codeTri est une chaîne de caracteres, et meme avec PDO:ARAM_STR il me retourne cette exception.

Je ne vois de différence avec ce post, et meme avec bindValue l'erreur intervient.

Merci de votre aide.

[nicocsgamer]

Ta variable $codeTri est bien le nom d'une colonne de ta table ?

[deY!]

Oui, quand je fais afficher $codeTri le nom de la colonne que je souhaite mettre apparait, lorsque je mets le nom de cette colonne sans bind ça fonctionne.

[kaymak]

Salut,

Je ne sais plus ou j'ai lu cela.... En tout cas je n'ai pas pu remettre la main dessus sur php.net. Mais en fouillant tu le trouveras surement.

Cependant, j'ai pour souvenir que l'on ne peut binder que des valeurs. J'entend par là, que tu ne peux pas binder de nom de colonne, de nom de table ou tout autre chose qui n'est pas une valeur inhérente à un critère de sélection....

Bref, les orderby, limit, nomde colonne, nom de table ect ne sont pas bindable.

bye

[deY!]

Bon, ben merci, je vais chercher, et essayer d'empêcher la possibilité de faire de l'injection dans ce cas.

Merci

[kaymak]

Ben pour ce qui est d'empecher l'injection sql sur ton order by. Comme tu as l'air d'utiliser le numéro de la colonne et non son nom, un simple intval me parait amplement suffisant

Au pire, tu feras un order by 0....
Donc au pire, un order by id dans bien des cas ; )

Dans une certaine mesure tu peux aussi utiliser pdo::quote http://www.php.net/manual/fr/function.PDO-quote.php
C'est l'équivalent du classique mysql_real_escape_string avec la prise en charge des drivers en plus !

Après selon le cas d'utilisation, il faudra peut être te tourner vers un match against une liste de données sur.
J'entends par là, si tu créés des requetes avec des noms de tables dynamique, par exemple, lister les tables existantes et vérifier la valeur d'entrée par rapport à la liste de tables lues dans la base.

Sinon oui c'est un peu casse pied je te l'accorde.