[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [1/2HS] Interrogations MySQL

Le 02/02/16 à 12:09, Sébastien NOBILI <sebnewsletter@free.fr> a écrit :

SN> Bonjour,
SN> 
SN> Le mardi 02 février 2016 à 11:34, andre_debian@numericable.fr a écrit :
SN> > SELECT DISTINCT email, prenom, famille, ville FROM table 
SN> > WHERE MATCH (email, prenom, famille, ville) 
SN> > AGAINST  ('+$brief[0] +$brief[1] +$brief[2]'  IN BOOLEAN MODE)
SN> 
SN> Attention aux concaténations de chaînes de caractères lors de l'initialisation
SN> d'une requête, c'est souvent par là qu'arrivent les injections SQL…

Oui, si ton code est du php regarde coté PDO ça va te faciliter la vie en écrivant des choses
comme

$query = 'SELECT DISTINCT email, prenom, famille, ville FROM table 
		WHERE MATCH (email, prenom, famille, ville) 
		AGAINST  (:recherche  IN BOOLEAN MODE)'
$params = array(
  ':recherche' => $brief[0] .$brief[1] .$brief[2]
);
$resultats = uneFct($query, $params);

(où uneFct enveloppe un appel à PDO et retourne un tableau, à adapter à tes besoins)

Autre remarque, en php la concaténation c'est . et pas +, si $brief[xx] est une chaîne ton
$brief[0] +$brief[1] +$brief[2] vaut toujours 0

-- 
Daniel

L'argent a rendu l'homme esclave et
personne ne fera de l'argent son esclave.
Gilles Olive
Reply to: