échappement dans requête préparée

Bonjour,

Comment échapper les double quotes avec PDO?

Avec l'exemple de de ma requête préparée ci-dessous si je fais un un update:

c'est mon test cela marche

c'est mon test "mais avec apostrophes" mais il me ne prend que c'est mon test et ne me retourne aucune erreur.

Or j'ai bien:

Code:

---

1 2	self::$instance->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_WARNING);

---

Je suis novice en PDO donc j'aimerai avoir un peu d'aide.
Merci d'avance

Code:

---

1 2 3 4 5 6 7 8 9 10 11

$i = 0; while($row = $sql_lg->fetch()){ $sql = DbConnect::getInstance()->prepare("UPDATE pic_lang SET title=:title,alt=:alt WHERE id_pic=:id AND lang=:lang"); $sql->bindParam(':title',$_POST['title'][$i],PDO::PARAM_STR); $sql->bindParam(':alt',$_POST['alt'][$i],PDO::PARAM_STR); $sql->bindParam(':id',$_GET['id_pic'],PDO::PARAM_INT); $sql->bindParam(':lang',$row->code,PDO::PARAM_STR); $exe = $sql->execute(); $i++; }

---

Ou encore

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12

$i = 0; while($row = $sql_lg->fetch()){ $sql = DbConnect::getInstance()->prepare("UPDATE pic_lang SET title=:title,alt=:alt WHERE id_pic=:id AND lang=:lang"); $exe = $sql->execute(array( ':title'=>$_POST['title'][$i], ':alt'=>$_POST['alt'][$i], ':id'=>$_GET['id_pic'], ':lang'=>$row->code )); $i++; }

---

ton problème ne vient pas de la requête préparée mais plutôt de la façon dont tu affiches tes résultats.

Par contre ta boucle ne m'a pas l'air très sérieuse.
Déjà, mettre la préparation d'une requête dans une boucle est une hérésie.
Ensuite mettre à jour une table dans la boucle du fetch() d'autre autre table (de la même table ?) avec en plus un compteur $i qui suppose donc que tous les éléments sont existants en série ... c'est une autre hérésie.

Oui et?

Effectivement toutes mes données sont connues. Voilà pq je fais ma boucle.

Ma question: Est ce que je dois passer par une requete classique ou une requete préparée? Si préparée, ou est mon erreur?

Merci

Citation:

---

Effectivement toutes mes données sont connues

---

Que veux-tu dire ?

EDIT:

Le coude source me donne ceci:

Code:

---

1 2	<input type="text" name="title[]" id="title_1" value="c'est le temps du "test"">

---

dans ma boucle while je fais une mise à jour.
Le site est en multilingue, je guère plus de 10 langues et donc ne connaissant pas 1 langues certaines champs peuvent etre à NULL pour les traduction minimes.

Cependant j'ai bien regardé ma requete. elle fonctionne.

Par exemple dans ma base de donnée, je ai bien mon champ qui possède:

c'est le temps du "test"

Et quand je fqis ma requete pour afficher mon champ j'ai

c'est le temps du

Voici ma requete SELECT:

Une idée Sabotage?

Merci

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27

$sql_desc = DbConnect::getInstance()->query("SELECT title,alt FROM pic JOIN pic_lang ON pic.id_pic=pic_lang.id_pic WHERE pic.id_pic=".$_GET['id_pic']." ORDER BY lang ASC"); $sql_lg = DbConnect::getInstance()->query("SELECT name FROM language_lang JOIN language ON id_language=language.id_language_lang WHERE language_lang.code='".$_SESSION['lang']."' GROUP BY language.code ORDER BY language.code ASC"); $i = 0; while($row_lg = $sql_lg->fetch()){ $row_desc = $sql_desc->fetch(); $title =!empty($_POST) ? $_POST['title'][$i] : $row_desc->title; $alt = !empty($_POST) ? $_POST['alt'][$i] : $row_desc->alt; print_r($title); echo '<div class="col col6">'."\n"; echo '<label for="title_'.$i.'">'.TXT_TITLE_PIC.' '.TXT_IN.' '.$row_lg->name.'</label>'."\n"; echo '<input type="text" name="title[]" id="title_'.$i.'" value="'.$title.'">'."\n"; echo '</div>'."\n"; echo '<div class="col col6">'."\n"; echo '<label for="alt_'.$i.'">'.TXT_ALT_PIC.' '.TXT_IN.' '.$row_lg->name.'</label>'."\n"; echo '<input type="text" name="alt[]" id="alt_'.$i.'" value="'.$alt.'">'."\n"; echo '</div>'."\n"; $i++; }

---

C'est ceci qui pose problème à l'affichage:

Code:

---

1 2	$title =!empty($_POST) ? $_POST['title'][$i] : $row_desc->title;

---

Citation:

---

Envoyé par andaman

Ma question: Est ce que je dois passer par une requete classique ou une requete préparée? Si préparée, ou est mon erreur?
Merci

---

1/ Les requêtes préparées sont conçues pour accélérer le traitement des requêtes multiples en ne préparant qu'une fois le schéma de la requête. Donc oui les requêtes préparées sont indiquées dans ton cas par contre il faut sortir la préparation de la requête (toute la ligne qui inclus le prepare()) hors de la boucle, sinon comme dit sabotage c'est une hérésie (car dans ce cas cela serait moins performant que des requêtes classiques).

2/ Les caractères spéciaux (doubles ou simples quotes) sont automatiquement échappés avec la préparation de la requête. Et donc si tu as un problème il vient d'autre part.

3/ Pour le reste, le principe de ton code parait effectivement un peu suspect mais il faudrait nous en dire plus si tu veux plus de conseils.

EDIT : J'ai posté avant de voir ta dernière réponse...

ABCIWEB ;-) Jene fait que suivre tes judicieux conseils lors des posts précédents.

Cependant c'est un problème d'affichage; c'est certain. Mais comment je peux resoudre cette ligne ?

Code:

---

1 2	<input type="text" name="title[]" id="title_1" value="c'est la vie q "allo"">

---

EDIT:

Comme dit Sabotage, je suis d'accord que prepare doit etre en dehors de ma boucle. C'est une erreur de ma part. Mais que je passe par une requete classique ou une requete préparée, mon probleme d'affichage reste identique

Voici le code complet qui me permet d'éditer en plusieurs langues les balises title et alt d'une image:

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13

$sql_lg = DbConnect::getInstance()->query("SELECT code FROM language ORDER BY code ASC"); $i=0; $sql = DbConnect::getInstance()->prepare("UPDATE pic_lang SET title=:title,alt=:alt WHERE id_pic=:id AND lang=:lang"); while($row = $sql_lg->fetch()){ $exe = $sql->execute(array( ':title'=>ucfirst($_POST['title'][$i]), ':alt'=>ucfirst($_POST['alt'][$i]), ':id'=>$_GET['id_pic'], ':lang'=>$row->code )); $i++; }

---

Je m'y prends comme un pied ou c'est valable?

ou faire ceci:

Code:

---

1 2	':title'=>ucfirst(str_replace('"','', $_POST['title'][$i])),

---

Dans ma base de donnée, les valeurs de title et alt son à NULL

Merci de votre aide

Mets toutes les langues à jour d'un coup au lieu de les faire une par une :

Code:

---

1 2 3 4 5 6 7 8 9

$sql = DbConnect::getInstance()->prepare("UPDATE pic_lang SET title=:title,alt=:alt WHERE id_pic=:id");   foreach ($_POST['title'] as $i=>$values) { $exe = $sql->execute(array( ':title'=>ucfirst($_POST['title'][$i]), ':alt'=>ucfirst($_POST['alt'][$i]), ':id'=>$_GET['id_pic'], )); }

---

Pour l'affichage :

Code:

---

echo '<input type="text" name="title[]" id="title_'.$i.'" value="'.htmlspecialchars($title).'">'."\n";

---

@sabotage j'ai des doutes sur la dernière requête que tu propose. Si je regarde sa précédente requête j'ai bien l'impression que c'est le couple "id_pic" et "lang" qui forme une clé unique dans sa table. Aussi j'ai du mal à imaginer qu'une boucle d'update ciblant uniquement l'id donne quelque chose de cohérent.. ?

La mise à jour est la même pour toutes les "lang" de chaque "id" non ?

J'ai peut-être trop d'imagination mais il me semble que c'est une tentative de formulaire de traduction (même si le code est incomplet).

ABCIWEB ton imagination est bonne ;-) Ceci dit c'était dit plus haut 8O Peut etre tu as d'autres conseils à donner
SABOTAGE Je pense que ton code va m'aider. Je regare cela demain car ici 23h45

J'ai fait ceci:

Code:

---

1 2	htmlentities($title)

---

Je te conseille htmlspecialchars plutôt que htmlentities. D'une part c'est suffisant et d'autre part tu n'auras pas besoin de spécifier le charset si tu code en utf-8

Moi aussi je suis novice en pdo, mais pour un affichage des erreurs, à la place de self::$instance->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_WARNING); je ferais self::$instance->setAttribute(PDO::ATTR_ERRMODE,PDO::ERRMODE_EXCEPTION);