"SELECT * from parcels " . $where . " order by unix_timestamp(date_created) desc "

" where status = {$_GET['s']} "
// deviendrait
" where status = :status "

array ( ':status' => $_GET['s'], ... )

$bindValues = array();
if (isset($_GET['s'])) {
  $where = " where status = :status ";
  $bindValues[':status'] = $_GET['s'];
}

La requête semble un peu plus complexe dans la mesure où les critères d'exécutions peuvent changer. Ceux-ci sont affectés dynamiquement à la variable "$where" en fonction du contexte. La variable contenant les conditions à utiliser est ensuite intégrée dans la requête finale :
[php]"SELECT * from parcels " . $where . " order by unix_timestamp(date_created) desc "[/php](j'ai sorti la variable de la chaine pour que ce soit plus flagrant :))

Pour la passer en PDO, le principe reste le même, il faut remplacer les éléments de ta requête qui changent par des identifiants : [php]" where status = {$_GET['s']} "
// deviendrait
" where status = :status "[/php]Idem pour les valeurs issues de la session. Puis au moment de l'exécution, il suffit de passer le tableau faisant correspondre identifiant et valeur : [php]array ( ':status' => $_GET['s'], ... )[/php]


Pour faire quelque chose de propre (et éviter d'éventuelles erreurs si jamais une variable n'existait pas), tu pourrais également rendre la construction de ce tableau dynamique et n'ajouter de couple id/val que lorsque tu en as besoin : [php]$bindValues = array();
if (isset($_GET['s'])) {
$where = " where status = :status ";
$bindValues[':status'] = $_GET['s'];
}[/php]Il suffira alors d'utiliser le tableau $bindValues pour l'exécution :)

Merci beaucoup pour votre réponse. [b]Seulement, je me demande, comment transformer cette requête-ci qui paraît un peu plus complexe en Requête PREPAREE PDO:[/b]

[code]<?php
$i = 1;
$where = "";
if(isset($_GET['s'])){
$where = " where status = {$_GET['s']} ";
}
if($_SESSION['login_type'] != 1 ){
if(empty($where))
$where = " where ";
else
$where .= " and ";
$where .= " (from_branch_id = {$_SESSION['login_branch_id']} or to_branch_id = {$_SESSION['login_branch_id']}) ";
}
$qry = $conn->query("SELECT * from parcels $where order by unix_timestamp(date_created) desc ");
while($row= $qry->fetch_assoc()):
?>[/code]

Ceci est là où je calle le plus. [b]AIDEZ-MOI S'IL VOUS PLAÎT.[/b]

$db = $pdo->prepare("INSERT INTO clients (nom, prenom, adresse, ville, codepostal, pays)
	VALUES (:nom, :prenom, :adresse, :ville, :cp, :pays)
");

$db->execute(array(
	':nom' => $nom,
        ':prenom' => $prenom,
        ':adresse' => $adresse,
        ':ville' => $ville,
        ':cp' => $cp,
        ':pays' => $pays
));

Salutations !

Les requêtes préparées n'ont d'intérêt que lorsque tu as besoin d'exécuter une même requête plusieurs fois en changeant uniquement ses paramètres. Autant dire que dans ton cas elles ne sont à priori pas nécessaire. Toutefois, comme elles permettent de facilement contrôler les variables utilisées pour limiter les risques (en particulier les injections SQL), elles sont presque systématiquement utilisées...

Pour préparer une requête, il suffit d'utiliser ta requête "finale" et de remplacer les variables par des identifiants du type " :identifiant " (on peut aussi utiliser l'ordre des variables avec un tableau indexé, mais c'est plus complexe à lire et à maintenir).

Lors de l'exécution de la requête préparée, on associe les variables à leurs identifiants et le moteur va les sécuriser et les intégrer dans la requête qui sera exécuté.

Par exemple :
[php]$db = $pdo->prepare("INSERT INTO clients (nom, prenom, adresse, ville, codepostal, pays)
VALUES (:nom, :prenom, :adresse, :ville, :cp, :pays)
");

$db->execute(array(
':nom' => $nom,
':prenom' => $prenom,
':adresse' => $adresse,
':ville' => $ville,
':cp' => $cp,
':pays' => $pays
));[/php]

Il y a d'autres syntaxes possibles (avec bindParam, bindValue) et plus d'options, mais voilà le principe qui devrait te permettre de bien avancer dans ta conversion vers PDO.

Bonsoir à tous.

S'il vous plaît j'aimerais transférer mes requêtes MySQLi qui comporte beaucoup de failles SQL. Ne comprenant pas encore très bien le concept [b]des [u]requêtes préparée[/u] en PDO[/b], je sollicite votre aide pour m'aider à corriger mon code ci-après [b]afin qu'il soit TOTALEMENT en requêtes préparées PDO:[/b]

[code]//print_pdets.php
<?php
$ids = $_GET['ids'] ;
$parcels = $conn->query("SELECT * FROM parcels where id in ($ids) ");
$branch = array();
$branches = $conn->query("SELECT *,concat(street,', ',city,', ',state,', ',zip_code,', ',country) as address FROM branches where id in (SELECT from_branch_id FROM parcels where id in ($ids) ) or id in (SELECT to_branch_id FROM parcels where id in ($ids) ) ");
while($row = $branches->fetch_assoc()):
$branch[$row['id']] = $row['address'];
endwhile;

while($row = $parcels->fetch_assoc()):
?>

//staff_list.php
<?php
$i = 1;
$qry = $conn->query("SELECT u.*,concat(u.firstname,' ',u.lastname) as name,concat(b.street,', ',b.city,', ',b.state,', ',b.zip_code,', ',b.country) as baddress FROM users u inner join branches b on b.id = u.branch_id where u.type = 2 order by concat(u.firstname,' ',u.lastname) asc ");
while($row= $qry->fetch_assoc()):
?>

//user_list.php
<?php
$i = 1;
$type = array('',"Admin","Registrar");
$qry = $conn->query("SELECT *,concat(lastname,', ',firstname,' ',middlename) as name FROM users order by concat(lastname,', ',firstname,' ',middlename) asc");
while($row= $qry->fetch_assoc()):
?>

//view_parcel.php
<?php
$qry = $conn->query("SELECT * FROM parcels where id = ".$_GET['id'])->fetch_array();
foreach($qry as $k => $v){
$$k = $v;
}
$branch = array();
$branches = $conn->query("SELECT *,concat(street,', ',city,', ',state,', ',zip_code,', ',country) as address FROM branches where id in ($to_branch_id,$from_branch_id)");
while($row = $branches->fetch_assoc()):
$branch[$row['id']] = $row['address'];
endwhile;
?>

//view_user.php
<?php
if(isset($_GET['id'])){
$type_arr = array('',"Admin","User");
$qry = $conn->query("SELECT *,concat(lastname,', ',firstname,' ',middlename) as name FROM users where id = ".$_GET['id'])->fetch_array();
foreach($qry as $k => $v){
$$k = $v;
}
}
?>[/code]

AIDEZ-MOI S'IL VOUS PLAÎT A TRANSFORMER MON CODE EN [b]REQUÊTES PREPAREES PDO[/b].

Merci d'avance.