Moteur de recherche et PDO

Version imprimable

Bonjour,
Voilà mon problème :
Dans le cadre d'un moteur de recherche, je réalise une boucle pour obtenir une partie de ma requête en fonction du nombre de mot-clés:
Code:

1 2 3 4 for($nombre_mots_boucle = 0; $nombre_mots_boucle < $nombre_mots; $nombre_mots_boucle++) { $valeur_requete .= ' AND CONCAT_WS(\' \',analyses.analyse,analyses.synonyme) LIKE \'%' . $mot_cle[$nombre_mots_boucle] . '%\''; } $valeur_requete = ltrim($valeur_requete,' AND');
Seulement maintenant je n'ai plus les moyens de protéger ma requête.
Avec un 'prepare' cela ne fonctionne pas et je n'ai pas non plus, évidemment, la possibilité de faire un mysql_real_escape_string...
Alors comment je peux m'y prendre ?

Je vous donne ma requête :
Code:

1 2 $reponse_analyses = $bdd->prepare('SELECT * FROM analyses INNER JOIN laboratoires ON analyses.laboratoire = laboratoires.id WHERE ? ? ORDER BY laboratoires.ordre,analyses.analyse,analyses.nature ASC') or die(print_r($bdd->errorInfo())); $reponse_analyses->execute(array($valeur_requete, $_SESSION['filtre_labo']));
Je ne sais pas si je me fais bien comprendre. J'attends vos remarques.
Merci

Je te propose :

Code:

1
2
3
4
5
6
7
8
 
// on ajoute autant de conditions parametrées que de mots cles
$valeur_requete = array_fill(0, count($mot_cle), "CONCAT_WS(analyses.analyse,analyses.synonyme) LIKE '%?%'");
$valeur_requete = implode(' AND ', $valeur_requete);
 
$reponse_analyses = $bdd->prepare('SELECT * FROM analyses INNER JOIN laboratoires ON analyses.laboratoire = laboratoires.id WHERE ' . $valeur_requete . ' ORDER BY laboratoires.ordre,analyses.analyse,analyses.nature ASC');
 
$reponse_analyses->execute(array($mot_clef));

Merci, c'était si simple...
Petite rectification tout de même , si je puis me permettre :
on ne peut pas mettre les % dans la requête préparée.
Pour contourner le problème, voici une solution :

Code:

1
2
3
4
5
function ajout_pourcentage($n)
{
	return('%' . $n .'%');
}
$mots_recherches = array_map("ajout_pourcentage", $mots_recherches);

Autre point de détail, concernant la fonction CONCAT_WS :
Il faut indiquer le séparateur en premier paramètre :

Code:

CONCAT_WS(\' \',analyses.analyse,analyses.synonyme)

Petit récapitulatif :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
$mot_cle = htmlspecialchars($_GET['mot_cle']);
$mots_recherches = explode(" ", $mot_cle); //séparation des mots
function ajout_pourcentage($n)
{
	return('%' . $n .'%');
}
$mots_recherches = array_map("ajout_pourcentage", $mots_recherches);
$nombre_mots = count ($mots_recherches); //compte le nombre de mots
 
// on ajoute autant de conditions parametrées que de mots cles
$valeur_requete = array_fill(0, $nombre_mots, 'CONCAT_WS(\' \',analyses.analyse,analyses.synonyme) LIKE ?');
$valeur_requete = implode(' AND ', $valeur_requete);
//requête
$reponse_analyses = $bdd->prepare('SELECT * FROM analyses INNER JOIN laboratoires ON analyses.laboratoire = laboratoires.id WHERE ' . $valeur_requete);
 
$reponse_analyses->execute($mots_recherches);