Bonjour, j'aimerais savoir s'il est possible de remplacer toto='$tata' par $variable dans l'expression :
SELECT .... FROM .... WHERE toto='$tata'
SELECT .... FROM .... WHERE $variable
Merci Cordialement
Benjamin
la communauté d'entraide francophone dédiée au PHP
Variable utilisée dans where
chimonito
Invité n'ayant pas de compte PHPfrance
En faite pour être claire,
j'ai un formulaire de recherche avec plusieurs champs text, ex toto, tata, titi, qui quand je l'envoie, me transmet la valeur en variable que je vais utiliser pour cibler ma recherche
Au lieu d'avoir .... WHERE pays= '$toto' AND region=' $tata' AND departement = '$titi';
je veux pouvoir faire quelque chose comme ça :
$tata1 = ' AND region = $tata' ;
$titi1 = ' AND departement = $titi' ;
...... WHERE pays= '$toto' $tata1 $titi1;
Comme ça si titi ou tata ne sont pas renseigné cela evite un message d'erreur
Voilà je ne sais pas si j'ai été assez claire, mais n'hésitez pas
Merci encore
Ben
j'ai un formulaire de recherche avec plusieurs champs text, ex toto, tata, titi, qui quand je l'envoie, me transmet la valeur en variable que je vais utiliser pour cibler ma recherche
Au lieu d'avoir .... WHERE pays= '$toto' AND region=' $tata' AND departement = '$titi';
je veux pouvoir faire quelque chose comme ça :
$tata1 = ' AND region = $tata' ;
$titi1 = ' AND departement = $titi' ;
...... WHERE pays= '$toto' $tata1 $titi1;
Comme ça si titi ou tata ne sont pas renseigné cela evite un message d'erreur
Voilà je ne sais pas si j'ai été assez claire, mais n'hésitez pas
Merci encore
Ben
Bonjour,
Lorsque tu exécute un ordre SQL, tu passe la commande SQL au serveur sous forme de chaine de caractère. Peux importe la manière dont tu constitues la chaine.
Lorsque tu fais la commande mysql_query ( $toto.$titi);
C'est équivalent à :
$SQL = $toto.$titi;
mysql_query ( $SQL);
Lorsque tu exécute un ordre SQL, tu passe la commande SQL au serveur sous forme de chaine de caractère. Peux importe la manière dont tu constitues la chaine.
Lorsque tu fais la commande mysql_query ( $toto.$titi);
C'est équivalent à :
$SQL = $toto.$titi;
mysql_query ( $SQL);
chimonito
Invité n'ayant pas de compte PHPfrance
ok, mais en faite j'aimerais juste savoir s'il est possible de remplacer toto='$tata' par $variable dans l'expression :
SELECT .... FROM .... WHERE toto='$tata'
SELECT .... FROM .... WHERE $variable
Merci
Benjamin
SELECT .... FROM .... WHERE toto='$tata'
SELECT .... FROM .... WHERE $variable
Merci
Benjamin
Bonjour,
Si tu fais
echo "SELECT .... FROM .... WHERE toto='$tata'"
ou
echo "SELECT .... FROM .... WHERE $variable"
Tu obtiens la même chose donc ca marchera pareil. La variable est remplacer par son contenu par PHP avant d'être transmis à MySQL. Il n'est pas fait un lien (bind) entre la variable et la commande SQL comme pour certain SGBD mais la constitution d'une chaine de caractère.
Il faut en plus utiliser la fonction mysql_real_escape_string() pour se protéger du contenu de la variable $tata.
Imagine le traitement :
$tata = 'T\' or \'A\' = \'A'; // ta variable contient T' or 'A' = 'A
$variable = "toto = '$tata'"; // ta variable contient toto = 'T' or 'A' = 'A'
Si tu fais SELECT .... FROM .... WHERE toto='$tata' ou SELECT .... FROM .... WHERE $variable tu auras des surprises
D'ou l'utilisation de $tata = mysql_real_escape_string($tata) pour sécuriser l'ordre SQL avec l'utilisation de $tata dans $variable ou dans l'ordre SQL.
Tout ca pour dire que ta méthode marche bien mais qu'il faut se méfier du contenu de $tata au cas ou $tata provienne d'une saisie et que l'utilisateur essaye de trafiquer la requête en saisissant du SQL.
Ta solution pour résoudre ton problème est bonne, le fait que la pose montre que tu n'avais pas très bien compris le principe de constitution de la commande SQL et les risques d'injection (j'étais dans ton cas)
Si tu fais
echo "SELECT .... FROM .... WHERE toto='$tata'"
ou
echo "SELECT .... FROM .... WHERE $variable"
Tu obtiens la même chose donc ca marchera pareil. La variable est remplacer par son contenu par PHP avant d'être transmis à MySQL. Il n'est pas fait un lien (bind) entre la variable et la commande SQL comme pour certain SGBD mais la constitution d'une chaine de caractère.
Il faut en plus utiliser la fonction mysql_real_escape_string() pour se protéger du contenu de la variable $tata.
Imagine le traitement :
$tata = 'T\' or \'A\' = \'A'; // ta variable contient T' or 'A' = 'A
$variable = "toto = '$tata'"; // ta variable contient toto = 'T' or 'A' = 'A'
Si tu fais SELECT .... FROM .... WHERE toto='$tata' ou SELECT .... FROM .... WHERE $variable tu auras des surprises
D'ou l'utilisation de $tata = mysql_real_escape_string($tata) pour sécuriser l'ordre SQL avec l'utilisation de $tata dans $variable ou dans l'ordre SQL.
Tout ca pour dire que ta méthode marche bien mais qu'il faut se méfier du contenu de $tata au cas ou $tata provienne d'une saisie et que l'utilisateur essaye de trafiquer la requête en saisissant du SQL.
Ta solution pour résoudre ton problème est bonne, le fait que la pose montre que tu n'avais pas très bien compris le principe de constitution de la commande SQL et les risques d'injection (j'étais dans ton cas)
chimonito
Invité n'ayant pas de compte PHPfrance
Merci pour la réponse très claire, mais cela ne marche pas
Car j'ai ça comme erreur :
Unknown column 'non' in 'where clause'
Merci
Car j'ai ça comme erreur :
Unknown column 'non' in 'where clause'
Merci