[AIDE] Requete SQL dans une variable :/
Posté : 21 avr. 2010, 16:36
Bonjour tout le monde,
Voila, j'ai besoin d'aide. Je dispose d'un formulaire de recherche composé de 19 champs, la requête SQL se fait de cette façon:
- J'initialise une variable $req="SELECT .... FROM matable";
- Je vérifie en premier les champs nécessitant une jointure externe, s'ils ne sont pas vide, je modifie la requete: $req.="LEFT JOIN ... ON .... = ..."
- Ensuite, je vérifie les champs, s'ils sont remplis et que c'est le premier champs : $req.="WHERE ... LIKE %$var%" sinon $req.="AND ... LIKE %$var%"
- Je teste ca pour tous mes champs, et je fini le tout par un petit tri: $req.="ORDER BY ..."
J'obtiens donc au final une requete du style: $req="SELECT .... FROM matable LEFT JOIN ... ON .... = ... WHERE ... LIKE %$var% AND ... LIKE %$var% ORDER BY ...";
Donc tout va bien, tout fonctionne, mais niveau sécurité c'est pas top!
J'utilise PDO pour la gestion de base de données, c'est la première fois que je l'utilise, et je ne suis pas encore un expert en php. Je pensais préparer la requete, mais je ne vois pas comment je peux faire dans mon cas hmm J'ai chercher un peu partout sur le net, on dirait que je suis le seul a avoir eu cette idée pour créer ma requete! yikes
J'ai besoin d'aide, besoin de conseils, d'avis sur ma méthode? Ou alors une autre piste pour gérer mes 19 champs! ?
Je tiens a rajouter, que j'ai préféré afficher le résultat sur la même page afin d'éviter une URL de 3kms!
Je vous remercie d'avance.
Voila, j'ai besoin d'aide. Je dispose d'un formulaire de recherche composé de 19 champs, la requête SQL se fait de cette façon:
- J'initialise une variable $req="SELECT .... FROM matable";
- Je vérifie en premier les champs nécessitant une jointure externe, s'ils ne sont pas vide, je modifie la requete: $req.="LEFT JOIN ... ON .... = ..."
- Ensuite, je vérifie les champs, s'ils sont remplis et que c'est le premier champs : $req.="WHERE ... LIKE %$var%" sinon $req.="AND ... LIKE %$var%"
- Je teste ca pour tous mes champs, et je fini le tout par un petit tri: $req.="ORDER BY ..."
J'obtiens donc au final une requete du style: $req="SELECT .... FROM matable LEFT JOIN ... ON .... = ... WHERE ... LIKE %$var% AND ... LIKE %$var% ORDER BY ...";
Donc tout va bien, tout fonctionne, mais niveau sécurité c'est pas top!
J'utilise PDO pour la gestion de base de données, c'est la première fois que je l'utilise, et je ne suis pas encore un expert en php. Je pensais préparer la requete, mais je ne vois pas comment je peux faire dans mon cas hmm J'ai chercher un peu partout sur le net, on dirait que je suis le seul a avoir eu cette idée pour créer ma requete! yikes
J'ai besoin d'aide, besoin de conseils, d'avis sur ma méthode? Ou alors une autre piste pour gérer mes 19 champs! ?
Je tiens a rajouter, que j'ai préféré afficher le résultat sur la même page afin d'éviter une URL de 3kms!
Je vous remercie d'avance.