Passer les guillemets dans un SELECT Potgresql #%@* WTF !!

Marsh Posté le 01-04-2020 à 14:23:05

Bonjour me revoila.
Donc, je recherche du texte contenant une apostrophe.
J'ai pris le terme "l'histoire" sachant qu'il est présent dans la BDD

Code :

//marche pas $REQDB2= str_replace("'","'",$REQ);
//marche pas $REQDB2= str_replace("'","\'",$REQ);
$REQDB2= str_replace("'","''",$REQ);
//$REQDB2= str_replace("'","'",$REQ);
//$REQDB2= str_replace("'","'",$REQ);
//$REQDB2= str_replace("'","'",$REQ);

Code :

$REQ="l'histoire";
$REQDB2= str_replace("'","''",$REQ); // les remplacements que je fais un à un (voir code au dessus)
$ligne = "SELECT REQUETE,DATE FROM _REQUETES_ WHERE REQUETE LIKE '".$REQDB2."'";
$requete_sql = pg_query($cursor, $ligne);
if (!$requete_sql)
{ print $requete_sql. "Une erreur s'est produite. ligne 42"; exit;
}
while ($row = pg_fetch_row($requete_sql))
{
if ($row[0] == $REQDB2)
{ $REQUETE_DEJA_ENREGISTREE='1';
$TUXB=$row[1];
}
}
if ($REQUETE_DEJA_ENREGISTREE=='0')
{
// ETAPE 1 CREER LES TABLES REQUETES
...///...
// ETAPE 2 ON RECHERCHE LES LIGNES

Là je fais un INCLUDE qui se trouve ci-dessous

Code :

$ligneA = "SELECT ARTICLE, TITLE, TEXT, RACINE FROM TEST2 WHERE TEXT ILIKE $1 OR TITLE ILIKE $1 OR TEXT ILIKE $2 OR TITLE ILIKE $2 OR TEXT ILIKE $3 OR TITLE ILIKE $3 OR
TEXT ILIKE $4 OR TITLE ILIKE $4 OR TEXT ILIKE $5 OR TITLE ILIKE $5";
$Recherche_Ilike = pg_query_params($cursor, $ligneA, array('% '.$REQDB2.' %','% '.$REQDB2.'.%','%'.$REQDB2.',%','%.'.$REQDB2.' %','%'.$REQDB2.' %'));
if (!$Recherche_Ilike)
{ print "Une erreur s'est produite. ";exit; }
// je sais je devrais la passer en query_params ci dessous mais la ca change pas grand chose donc je le ferai plus tard.
$ligneC = "SELECT COUNT (URL) FROM TEST2 WHERE TEXT ILIKE '".$REQDB2."'";
$requete_sql = pg_query($cursor, $ligneC);
while ($row = pg_fetch_row($requete_sql))
{
print $row[0];
}

ALORS LE PROBLEME:
Dans mon include ci-dessus, la recherche s'effectue puisque je vois bien qu'il mouline ==> str_replace(" ' "," ' ' ",$REQ)
Donc je me dis que la requete est comprise par POSTGRESQL (dans le cas contraire il me plante direct)
Or il ne trouve rien...... il me retourne un nombre de lignes = 0....

---------------
http://www.ypikay.com

Reply

Marsh Posté le 01-04-2020 à 14:23:05

Reply

Marsh Posté le 01-04-2020 à 14:54:02

Typiquement un cas ou tu veux utiliser PDO et ne surtout pas passer les parametres tels quels.

https://www.postgresqltutorial.com/ [...] php/query/

Cherche "bindValue" dans cette page pour voir un exemple.

En utilisant bindValue: plus besoin de faire gaffe aux apostrophes & co, le systeme s'en occupe pour toi et garanti que les injections SQL ne soient pas possible (uniquement bien sur si tu utilises tout le temps bindValues)

EDIT: si tu ne peux pas changer pour PDO (qui est ce qui est recommandé aujourd'hui), l'alternative "old school" c'est celle la:
https://www.php.net/manual/fr/funct [...] params.php

Et pas pg_query qui ne devrait jamais prendre de parametre comme ca...

Message édité par Devil'sTiger le 01-04-2020 à 14:55:22

Reply

Marsh Posté le 01-04-2020 à 17:34:05

Merci beaucoup.
Mais j'utilise query params.
Je vais voir ton histoire de binValue.
Merci

---------------
http://www.ypikay.com

Reply

Marsh Posté le 01-04-2020 à 18:56:45

Bon je reviens à la charge. Je ne sais toujours pas quel chr il faut lui passer à PostGresql....
tous les exemples ci dessous plantent.
Merci de votre aide.

Code :

$array = array("l''histoire","l\'histoire","l\\'histoire","l\'\'histoire","l\''histoire","l\''histoire","l'histoire" );
foreach ($array as &$REQ)
{
print "<br>".$REQ."<br>";
$ligne = "SELECT URL, TITLE, TEXT, RACINE FROM TEST2 WHERE
TITLE ~* ' ".$REQ." ' OR
TEXT ~* '".$REQ." '
";
print $ligne;
$requete_sql = pg_query($cursor, $ligne);
//$requete_sql = pg_query_params($cursor, $ligne, array($REQ));
print $ligne.'<br>';
if (!$requete_sql)
{ print 'exit0'; }

---------------
http://www.ypikay.com

Reply

Passer les guillemets dans un SELECT Potgresql #%@* WTF !!

Sujets relatifs:

Leave a Replay