Re: [1/2HS] Interrogations MySQL
Le 02/02/16 à 12:09, Sébastien NOBILI <sebnewsletter@free.fr> a écrit :
SN> Bonjour,
SN>
SN> Le mardi 02 février 2016 à 11:34, andre_debian@numericable.fr a écrit :
SN> > SELECT DISTINCT email, prenom, famille, ville FROM table
SN> > WHERE MATCH (email, prenom, famille, ville)
SN> > AGAINST ('+$brief[0] +$brief[1] +$brief[2]' IN BOOLEAN MODE)
SN>
SN> Attention aux concaténations de chaînes de caractères lors de l'initialisation
SN> d'une requête, c'est souvent par là qu'arrivent les injections SQL…
Oui, si ton code est du php regarde coté PDO ça va te faciliter la vie en écrivant des choses
comme
$query = 'SELECT DISTINCT email, prenom, famille, ville FROM table
WHERE MATCH (email, prenom, famille, ville)
AGAINST (:recherche IN BOOLEAN MODE)'
$params = array(
':recherche' => $brief[0] .$brief[1] .$brief[2]
);
$resultats = uneFct($query, $params);
(où uneFct enveloppe un appel à PDO et retourne un tableau, à adapter à tes besoins)
Autre remarque, en php la concaténation c'est . et pas +, si $brief[xx] est une chaîne ton
$brief[0] +$brief[1] +$brief[2] vaut toujours 0
--
Daniel
L'argent a rendu l'homme esclave et
personne ne fera de l'argent son esclave.
Gilles Olive
Reply to: