Requête SQL PHP préparée pour chercher une des valeurs d'un tableau

Version imprimable

Bonjour

Je suis en train de passer au crible toutes les requêtes sql d'un code que j'ai rédigé il y a un petit moment pour les transformer en requêtes préparées avec prepare et execute(array()). Cependant, j'avais rédigé une requête que je ne parviens pas à traduire proprement :
Code:

1 2 3 4 5 6 7 $requete = ""; foreach ($_POST['perso'] as $key => $value) { $requete = $requete . 'clef=\'Personnage\' AND valeur=\''.$value.'\'' . " OR "; } $requete = $requete . "0=1"; $req = $bdd->query('SELECT * FROM options WHERE '.$requete.' ORDER BY sequence ASC');
Ce que fait ce code :

On récupère dans $_POST une liste de clé et de valeurs
On veut récupérer toutes les ligne avec au moins une valeur
Pour ça on fait une requête partielle avec les conditions, du type

Code:

'clef=\'Personnage\' AND valeur=\'valeur1'\' OR clef=\'Personnage\' AND valeur=\'valeur1\' ... OR'

On conclue par "0=1" pour échapper le dernier OR
On envoie la requête

Le problème : on ne sait pas ce qu'il y a dans $_POST. En particulier, il peut y avoi des guillemets échappatoires et autres fantaisies de ce type. Je voudrais donc utiliser plutôt une requête préparé, mais je n'ai pas d'idée. Quelqu'un a t il déjà rencontré ce type de cas?

Merci beaucoup pour votre aide

Citation:

Envoyé par Léo-Nils

Le problème : on ne sait pas ce qu'il y a dans $_POST. En particulier, il peut y avoi des guillemets échappatoires et autres fantaisies de ce type. Je voudrais donc utiliser plutôt une requête préparé, mais je n'ai pas d'idée. Quelqu'un a t il déjà rencontré ce type de cas?

C'est tout l'intérêt des requêtes préparées, on se contrefiche de ce que peuvent contenir les variables qu'on lui passe, les échappements nécessaires sont fait automatiquement.
Exemple:
Code:

1 2 3 4 5 6 7 8 9 // On fait quelques vérifications sur $_POST['perso'] et des éventuels sanitizations, // puis on affecte le résultat à la variable $perso. // En d'autres termes on ne passe pas directement un POST ou un GET à une requête. $requete = 'SELECT * FROM options WHERE clef="Personnage" AND valeur IN (?' . str_repeat(',?', count($perso) - 1) . ') ORDER BY sequence ASC'; $stmt = $bdd->prepare($requete); $stmt->execute($perso);
Aussi, mieux vaut remplacer SELECT * par SELECT champ1, champ2..., c'est plus rapide.

05/12/2018, 08h09
Léo-Nils
Bonjour
Merci beaucoup pour votre réponse. J'avais en effet toujours utilisé les reqêtes prépérées avec quelquechose de la forme
Code:

1 2 3 $req = $bdd->prepare('SELECT * FROM scenario WHERE ordre=:ordre'); $req->execute(array('ordre'=>$ordre));
Je n'avais donc jamais eut affaire à des cas plus complexes ou dynamique.
Merci beaucoup pour votre aide