function Query($query)
	{
		$args = func_get_args();
		
		array_shift($args);

		if (isset($args[0]) and is_array($args[0]))
		{
			# an array has been provided, instead of pushed arguments
	
			$args = $args[0];
		}
		
		$this->query_args =& $args;

		$query = preg_replace_callback
		(
			'#(%d|%s|%f|%F|%b|%%)#',
			array(&$this, '_query_callback'),
			$query
		);
				
		$rc = parent::Query($query, $er);
		
		if (!$er)
		{
			return $rc;
		}
	}
	
	function _query_callback($match)
	{
		switch ($match[1])
		{
			# We must use type casting to int to convert FALSE/NULL/(TRUE?)
			# We don't need db_escape_string as numbers are db-safe

			case '%d': return (int) array_shift($this->query_args); 
			case '%s': return parent::EscapeString(array_shift($this->query_args));
			case '%%': return '%';
			case '%f': return (float) array_shift($this->query_args);
			case '%F': return array_shift($this->query_args);
			
			# binary data
			
			case '%b': return parent::EncodeBlob(array_shift($this->query_args));
		}
	}

Nan, j'utilise pas sprintf(), voici un bout de ma classe WdDatabase, qui étend ma classe WdMySQL:
[php]
function Query($query)
{
$args = func_get_args();

array_shift($args);

if (isset($args[0]) and is_array($args[0]))
{
# an array has been provided, instead of pushed arguments

$args = $args[0];
}

$this->query_args =& $args;

$query = preg_replace_callback
(
'#(%d|%s|%f|%F|%b|%%)#',
array(&$this, '_query_callback'),
$query
);

$rc = parent::Query($query, $er);

if (!$er)
{
return $rc;
}
}

function _query_callback($match)
{
switch ($match[1])
{
# We must use type casting to int to convert FALSE/NULL/(TRUE?)
# We don't need db_escape_string as numbers are db-safe

case '%d': return (int) array_shift($this->query_args);
case '%s': return parent::EscapeString(array_shift($this->query_args));
case '%%': return '%';
case '%f': return (float) array_shift($this->query_args);
case '%F': return array_shift($this->query_args);

# binary data

case '%b': return parent::EncodeBlob(array_shift($this->query_args));
}
}
[/php]

Mon avis : n'utilise pas sprintf() pour tes requêtes, il n'est pas fait pour ça. Si tu es sous PHP5, remplace-le par PDO ou MySQLi et utilise les requêtes préparées. Et si tu es sous PHP4... c'est l'heure de changer d'hébergeur.

Bonjour,

J'utilise le formatage de chaine pour protéger mes transactions SQL. Par exemple :
[code]
SELECT * FROM `%s` WHERE `%s` = '%s'
[/code]
une fois formaté, donnera la requête suivante :
[code]
SELECT * FROM `user_users` WHERE `username` = 'gofromiel'
[/code]

Bien sur, les chaines de caractères mises à la place des %s sont passées à mysql_real_escape_string().

Ce qui m'ennuie dans tout ça c'est que si une chaine est vide je me retrouve avec '' et non NULL. Et je ne peux pas simplement retourner NULL à la place de %s, puisque j'obtiendrais la chaine 'NULL'... ce qui est nul du coup.

Donc, mon idée est de virer les apostrophes autour de %s et d'ajouter %n pour les noms de champs. Ce qui nous donnerait :
[code]
SELECT * FROM %n WHERE %n = %s
[/code]
Cela permet déjà de distinguer les noms de champs de leurs valeurs et me permet de remplacer %s par NULL si la chaine est vide.

Le problème c'est que je ne suis pas sur que ce soit une très bonne idée.

Avez-vous un avis éclairé à partager ?