Echapper les caractères potentiellement dangereux pour une requête SQL avec LIKE

Version imprimable

Bonsoir à tous,

Sur mon blog, je dispose d'un formulaire de recherche basique (un input de type search) et d'une requête que voici :
Code:

1 2 3 4 $search = htmlspecialchars($_GET['search']); if ($search AND $search != "") { $req = $bdd->prepare("SELECT * FROM annonce WHERE titre LIKE '%$search%' OR contenu LIKE '%$search%' OR codePostal LIKE '%$search%' ORDER BY date DESC") or die(print_r($bdd->errorInfo())); $req->execute(array($search)) or die(print_r($req->errorInfo()));
J'aimerais échapper certains caractères surtout la guillemet simple qui fait planter la requête puisqu'elle comporte

Code:

'%$search%'

.

J'ai testé les caractères suivant : # ! ^ $ ( ) [ ] { } ? + * . \ | tous à la suite je n'ai pas eu de problème...

Je n'ai donc pas trouvé d'autres caractères pouvant causer problème. SI vous en connaissez dites le moi, merci

Salut,

je t'invite à relire un peu la doc de PDO parce que la manière dont tu l'utilises lui retire absolument tout son intérêt :aie:

On utilise des placeholder dans le SQL et pas la valeur de la variable :
Code:

1 2 3 4 5 6 7 8 SELECT * FROM annonce WHERE titre LIKE '%:search%' OR contenu LIKE '%:search%' OR codePostal LIKE '%:search%' ORDER BY date DESC

16/12/2012, 19h54
sabotage
De mémoire, les % ne peuvent être mis dans la requête, il faut les ajouter à la valeur :
Code:

1 2 3 $req = $bdd->prepare("SELECT * FROM annonce WHERE titre LIKE :search"); $req->execute(array('%' . $_GET['search'] . '%'))
Sinon rawsrc a raison : tu utilises PDO comme on utilisait l'ancien pilote mysql.
Enlève tes "or die()" ; si tu veux les erreurs, tu as juste à activer les exceptions sur ta connexion.
http://php.net/manual/fr/pdo.error-handling.php
16/12/2012, 19h57
rawsrc

oui sabotage a raison, tu dois sortir les % de la chaine SQL et les ajouter à la valeur.

Il n'existe pas des masses de tuto pour PDO donc je l'utilise un peu comme j'ai appris :s

Sabotage : Je ne peux pas juste mettre ":search", si ?
Code:

1 2 $req = $bdd->prepare("SELECT * FROM annonce WHERE titre LIKE :search OR contenu LIKE :search OR codePostal LIKE :search ORDER BY date DESC") or die(print_r($bdd->errorInfo())); $req->execute(array('%' . $search . '%')) or die(print_r($req->errorInfo()));
Voici l'erreur que j'ai :

Code:

Array ( Array ( [0] => HY093 [1] => [2] => ) 1

Bonjour,
voici un bon tuto => Comprendre PDO
Code:

1 2 3 4 5 6 7 8 9 10 11 $query = "SELECT * FROM annonce WHERE titre LIKE :search OR contenu LIKE :search OR codePostal LIKE :search ORDER BY date DESC"; try { $req = $bdd->prepare($query); $req->bindValue(':search', '%'.$search.'%', PDO::PARAM_STR); $req->execute(); } catch (PDOException $e) { echo 'Erreur SQL : '. $e->getMessage().'<br/>'; die(); }
En supposant d'avoir activé avant la gestion d'erreur PDO.

Code:

$bdd->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

16/12/2012, 20h30
JimDraw

J'ai testé cette requête pour voir et elle ne fonctionne pas :/
16/12/2012, 20h33
Invité

J'ai mis un lien.
Ce n'est pas une guirlande de Noël, mais ça devrait t'éclairer.
16/12/2012, 20h36
JimDraw

J'y ai jeté un coup d'oeil...n'ayant pas le temps ce soir, je voudrais juste savoir s'il y a moyen d'échapper le caractère ' quitte à ce que je conserve mon "mauvais" code pour ce soir et que je vois comment l'améliorer à l'aide du lien.

Je ne veux pas non plus d'un code tout prêt.
16/12/2012, 20h40
Invité

Citation:

Envoyé par JimDraw

...savoir s'il y a moyen d'échapper le caractère '...

Ah, il fallait le dire tout de suite ! => Comprendre PDO
16/12/2012, 20h43
JimDraw

Je ne sais pas si c'est de l'ironie ou si tu n'avais pas compris...en tout cas je l'avais dis dans mon premier post.

Je vais lire le passage du lien, merci beaucoup (pour le moment en retirant le or die... le ' est pris comme caractère et donc plus d'erreur)

Merci encore
16/12/2012, 20h49
Invité

Citation:

Envoyé par JimDraw

Je ne sais pas si c'est de l'ironie ...

Bingo ! ;) Humour à froid et ~~café chaud~~ marrons chauds (c'est bientôt Noël !).
16/12/2012, 20h55
JimDraw

Bon je ne le prend pas mal (c'est vrai que de voir défiler des gens toutes la journées qui ne lisent pas les docs...)

J'ai pour le moment régler en supprimant les or die. Puis-je supprimer tous les or die ?

Pour les erreurs j'ajouterai le bout de code qu'il faut après avoir "déclarer" ma BDD en début de code.

Et pour la syntax de PDO je lirai la doc et le tuto.

Merci
17/12/2012, 10h46
JimDraw

Je viens de refaire des tests, et si je mets par exemple "l'année", mot se trouvant dans un de mes articles, le script ne me trouve rien...ça doit certainement venir de ma syntaxe, je pense que le ' et " fait sauter la requête, mais est-ce dangereux ou non ?

Merci