Discussion :

[elwood973]

Bonjour,
Voilà mon problème :
Dans le cadre d'un moteur de recherche, je réalise une boucle pour obtenir une partie de ma requête en fonction du nombre de mot-clés:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
for($nombre_mots_boucle = 0; $nombre_mots_boucle < $nombre_mots; $nombre_mots_boucle++) {
$valeur_requete .= ' AND CONCAT_WS(\' \',analyses.analyse,analyses.synonyme) LIKE \'%' . $mot_cle[$nombre_mots_boucle] . '%\'';
	}
$valeur_requete = ltrim($valeur_requete,' AND');

Seulement maintenant je n'ai plus les moyens de protéger ma requête.
Avec un 'prepare' cela ne fonctionne pas et je n'ai pas non plus, évidemment, la possibilité de faire un mysql_real_escape_string...
Alors comment je peux m'y prendre ?

Je vous donne ma requête :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$reponse_analyses = $bdd->prepare('SELECT * FROM analyses INNER JOIN laboratoires ON analyses.laboratoire = laboratoires.id WHERE ? ? ORDER BY laboratoires.ordre,analyses.analyse,analyses.nature ASC') or die(print_r($bdd->errorInfo()));
$reponse_analyses->execute(array($valeur_requete, $_SESSION['filtre_labo']));

Je ne sais pas si je me fais bien comprendre. J'attends vos remarques.
Merci

[sabotage]

Je te propose :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
// on ajoute autant de conditions parametrées que de mots cles
$valeur_requete = array_fill(0, count($mot_cle), "CONCAT_WS(analyses.analyse,analyses.synonyme) LIKE '%?%'");
$valeur_requete = implode(' AND ', $valeur_requete);
 
$reponse_analyses = $bdd->prepare('SELECT * FROM analyses INNER JOIN laboratoires ON analyses.laboratoire = laboratoires.id WHERE ' . $valeur_requete . ' ORDER BY laboratoires.ordre,analyses.analyse,analyses.nature ASC');
 
$reponse_analyses->execute(array($mot_clef));

[elwood973]

Merci, c'était si simple...
Petite rectification tout de même , si je puis me permettre :
on ne peut pas mettre les % dans la requête préparée.
Pour contourner le problème, voici une solution :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
function ajout_pourcentage($n)
{
	return('%' . $n .'%');
}
$mots_recherches = array_map("ajout_pourcentage", $mots_recherches);

Autre point de détail, concernant la fonction CONCAT_WS :
Il faut indiquer le séparateur en premier paramètre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

CONCAT_WS(\' \',analyses.analyse,analyses.synonyme)

Petit récapitulatif :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
$mot_cle = htmlspecialchars($_GET['mot_cle']);
$mots_recherches = explode(" ", $mot_cle); //séparation des mots
function ajout_pourcentage($n)
{
	return('%' . $n .'%');
}
$mots_recherches = array_map("ajout_pourcentage", $mots_recherches);
$nombre_mots = count ($mots_recherches); //compte le nombre de mots
 
// on ajoute autant de conditions parametrées que de mots cles
$valeur_requete = array_fill(0, $nombre_mots, 'CONCAT_WS(\' \',analyses.analyse,analyses.synonyme) LIKE ?');
$valeur_requete = implode(' AND ', $valeur_requete);
//requête
$reponse_analyses = $bdd->prepare('SELECT * FROM analyses INNER JOIN laboratoires ON analyses.laboratoire = laboratoires.id WHERE ' . $valeur_requete);
 
$reponse_analyses->execute($mots_recherches);