Recherche necessitant jointure
cs_christuckers
Messages postés
75
Date d'inscription
jeudi 27 juillet 2006
Statut
Membre
Dernière intervention
26 mars 2010
-
28 déc. 2007 à 09:16
malalam Messages postés 10839 Date d'inscription lundi 24 février 2003 Statut Membre Dernière intervention 2 mars 2010 - 28 déc. 2007 à 19:55
malalam Messages postés 10839 Date d'inscription lundi 24 février 2003 Statut Membre Dernière intervention 2 mars 2010 - 28 déc. 2007 à 19:55
A voir également:
- Recherche necessitant jointure
- Isbn recherche - Forum Visual Basic
- Recherche saxophoniste ✓ - Forum Java
- Double jointure sql ✓ - Forum SQL
- Sql jointure - Forum SQL
- Requête SQL à double jointure sur une même table ✓ - Forum Visual Basic
4 réponses
neigedhiver
Messages postés
2480
Date d'inscription
jeudi 30 novembre 2006
Statut
Membre
Dernière intervention
14 janvier 2011
19
28 déc. 2007 à 17:18
28 déc. 2007 à 17:18
Salut,
$query = 'SELECT champ1, champ2, ...
FROM vft_users
LEFT JOIN vft_files
ON vft_users.id=vft_files.iduser
WHERE vft_users.login LIKE \'%' . $complet . '\'%;';
Préconisations :
- n'utilise pas la syntaxe <?=$variable?> car elle nécessite que la configuration de PHP ait short-open_tags à ON, ce qui n'est pas toujours le cas
- évite aussi d'utiliser * pour lister les champs à récupérer : si plus tard tu rajoutes dans ta table des champs dont tu n'as pas besoin à chaque requête, ils seront quand même chargés, ce qui fait perdre en performances et consomme plus de mémoire
Il se peut que ta requête soit ok, mais il faut penser à mettre un $ devant le nom de ta variable complet :
LIKE '%$complet%'
WHERE ne devrait pas être utilisé pour faire une jointure, mais uniquement pour limiter les enregistrements à ceux qui correspondent à la condition. Quand on fait une jointure, autant la faire explicitement (avec JOIN) qu'implicitement (avec une virgule comme tu l'as fait), surtout quand on fait une liaison entre deux tables, sur un champ (d'où l'utilité du mot clé ON)
$query = 'SELECT champ1, champ2, ...
FROM vft_users
LEFT JOIN vft_files
ON vft_users.id=vft_files.iduser
WHERE vft_users.login LIKE \'%' . $complet . '\'%;';
Préconisations :
- n'utilise pas la syntaxe <?=$variable?> car elle nécessite que la configuration de PHP ait short-open_tags à ON, ce qui n'est pas toujours le cas
- évite aussi d'utiliser * pour lister les champs à récupérer : si plus tard tu rajoutes dans ta table des champs dont tu n'as pas besoin à chaque requête, ils seront quand même chargés, ce qui fait perdre en performances et consomme plus de mémoire
Il se peut que ta requête soit ok, mais il faut penser à mettre un $ devant le nom de ta variable complet :
LIKE '%$complet%'
WHERE ne devrait pas être utilisé pour faire une jointure, mais uniquement pour limiter les enregistrements à ceux qui correspondent à la condition. Quand on fait une jointure, autant la faire explicitement (avec JOIN) qu'implicitement (avec une virgule comme tu l'as fait), surtout quand on fait une liaison entre deux tables, sur un champ (d'où l'utilité du mot clé ON)
sidf
Messages postés
1216
Date d'inscription
mardi 20 décembre 2005
Statut
Membre
Dernière intervention
18 octobre 2012
5
28 déc. 2007 à 17:22
28 déc. 2007 à 17:22
salut
<form action="listerecherchevp.php" method="post" name="p" target="body" id="i">
...
...
</form>
deja si tu utilises la methode POST, ne passe pas ton param en GET
donc tu peux te servir directement du champ 'nomic'
elseif ($r=='4' )
{
$nomic=$_POST['nomic']; // par securité$query "SELECT * FROM vft_files,vft_users WHERE vft_files.iduser vft_users.id AND vft_users.login LIKE '%$nomic%' ";
}
...
j'avais oublié le $
<form action="listerecherchevp.php" method="post" name="p" target="body" id="i">
...
...
</form>
deja si tu utilises la methode POST, ne passe pas ton param en GET
donc tu peux te servir directement du champ 'nomic'
elseif ($r=='4' )
{
$nomic=$_POST['nomic']; // par securité$query "SELECT * FROM vft_files,vft_users WHERE vft_files.iduser vft_users.id AND vft_users.login LIKE '%$nomic%' ";
}
...
j'avais oublié le $
neigedhiver
Messages postés
2480
Date d'inscription
jeudi 30 novembre 2006
Statut
Membre
Dernière intervention
14 janvier 2011
19
28 déc. 2007 à 18:09
28 déc. 2007 à 18:09
"$nomic=$_POST['nomic']; // par securité"
LOL tu parles d'une sécurité... C'est probablement ce qui permet le plus les injections SQL...
LOL tu parles d'une sécurité... C'est probablement ce qui permet le plus les injections SQL...
malalam
Messages postés
10839
Date d'inscription
lundi 24 février 2003
Statut
Membre
Dernière intervention
2 mars 2010
25
28 déc. 2007 à 19:55
28 déc. 2007 à 19:55
@sidf => je ne suis pas non plus ton raisonnement. Tu peux l'expliquer un peu plus précisément stp?
POST n'est pas plus sécurisé que GET. Bon on va dire c'est un tout petit peu plus difficile à contourner pour un noob...mais si on veut hacker un site pour de bon, on n'est pas un noob. Enfin...en tout cas, si on veut réussir ;-)
Et je ne pige pas du tout ton $nomic = $_POST['nomic'], ça change quoi au juste à part bouffer un peu plus de mémoire ?
Déjà, une bonne protection, c'est d'échapper les caractères à problème (mysql_real_escape_string() pour mysql par exemple).
POST n'est pas plus sécurisé que GET. Bon on va dire c'est un tout petit peu plus difficile à contourner pour un noob...mais si on veut hacker un site pour de bon, on n'est pas un noob. Enfin...en tout cas, si on veut réussir ;-)
Et je ne pige pas du tout ton $nomic = $_POST['nomic'], ça change quoi au juste à part bouffer un peu plus de mémoire ?
Déjà, une bonne protection, c'est d'échapper les caractères à problème (mysql_real_escape_string() pour mysql par exemple).