Version imprimable
Bonjour,
je souhaiterais utiliser des recherches en mode fulltext in boolean mode , mais je ne sais pas comment prevenir les attaque de type injection sql, étant donné que ce mode authorise pas mal de jcker
qui risque d'etre neutralisé par les fonction de prevention classique.
envous remerciant !
De la même façon que d'habitude : en utilisant des REQUETES PARAMETREES.
Exemple ici avec C# + SQL Server, mais cela s'applique à TOUS les languages du marché et TOUS les SGBD
(enfin... tous les langages et SGBD qui peuvent se targuer d'en être... genre PHP et MySQL, y'a pas si longtemps, en était toujours incapable... mais bon, PHP est tous sauf un langage de programmation, et MySQL est tout sauf un SGBD :mrgreen: )
http://webman.developpez.com/article...ameter/csharp/
Bonjour,
merci pour la réponse,
je comprend la logique et j'utilise moi meme les réquetre préparametré pour les requete simple
la mon soucis c'est qu'il s'agit ici de recherche a l'interieur de texte s'articulant autour de plusieur champs, l'utilisateur a donc le choix de remplir ou non les champ ou en utilisant des jockers
et de specifier si les mot de chaque champs doivent etre présent en meme temp ou non (champ A AND champB ou champA OR champB).
bref un vrai moteur de recherche.
Hmmmm, ce que vous décrivez c'est pas du FULL TEXT.
Le full text, on tape dans un index (qui peut porter sur plusieurs colonnes). Et la "requête" full text n'est qu'une simple chaîne de caractères qu'on passe en paramètre.
Quant à la liste des colonnes (qui peuvent être multiples, y compris depuis plusieurs tables) il faudra simplement la gérée depuis le programme, et non les faire saisir par l'utilisateur. Prévoir donc une IHM qui permet de choisir les colonnes de la recherche avec les opérateurs booléens à appliquer dessus.
Exemple avec SQL Server 2014 :
https://msdn.microsoft.com/en-us/library/ms142583.aspx
On voit que la liste des colonnes/tables est bien séparée de la requête elle-même, qui est une simple chaîne de caractères (et donc peut être un paramètre).
Bon apres reflexion et je laisse tomber le fulltext mode vu que mysql utilise 90% de la ponctuation comme wildcard (parenthese, apostrophe et les tiret) dans ce mode, je me retrouve vac des requete qui sont soit buggé soit ne donne aucun resultat.
du coup je pars sur un implementation maison du LIKE :
"mot ou phrase" = SELECT * FROM table WHERE Description LIKE 'mot ou phrase %' OR Description LIKE '% mot ou phrase %' OR Description LIKE '% mot ou phrase' OR Description LIKE '% mot ou phrase,%' OR Description LIKE '% mot ou phrase\.%' OR Description LIKE '% mot ou phrase)%'
mot* = SELECT * FROM table WHERE Description LIKE '% mot%' OR Description 'mot%' OR Description LIKE '%(mot%' Description LIKE '%\'mot%' OR Description LIKE '% "mot%'
*mot = SELECT * FROM table WHERE Description LIKE '%mot %' OR Description '%mot.%' OR Description '%mot, %' OR Description '%mot) %' OR Description LIKE '% "mot%'
mot = SELECT * FROM table WHERE Description LIKE '% mot %' OR Description '% mot.%' OR Description '% mot, %' OR Description '% mot)%' OR Description LIKE '%\'mot%'
théoriquement cela devrais marcher.
Non, ça va pas marcher, ça va juste foutre en l'air ton serveur MySQL.
Et surtout, fulltext permet de faire des choses bien plus évoluées et performantes que le like (surtout du like seul).
Poste un exemple de requête complexe avec ponctuation, qu'on se fasse une idée.
Je doute que la syntaxe soit drastiquement différente de celle de SQL Server, et comme je l'ai dit pour ce dernier, mise à part la liste des colonnes à gérer en faisant attention aux injections, tout le reste peut être géré en requêtes paramétrées.
À lire sur la comparaison de l'indexation textuelle de MySQmerde et de MS SQL Server (ce dernier étant assez normatif) : http://blog.developpez.com/sqlpro/p9...text_search_no
A +