Select avec arguments
hfdz
Messages postés
8
Date d'inscription
samedi 22 novembre 2008
Statut
Membre
Dernière intervention
12 juin 2012
-
2 janv. 2012 à 15:04
hfdz Messages postés 8 Date d'inscription samedi 22 novembre 2008 Statut Membre Dernière intervention 12 juin 2012 - 4 janv. 2012 à 17:02
hfdz Messages postés 8 Date d'inscription samedi 22 novembre 2008 Statut Membre Dernière intervention 12 juin 2012 - 4 janv. 2012 à 17:02
5 réponses
cs_Julien39
Messages postés
6414
Date d'inscription
mardi 8 mars 2005
Statut
Modérateur
Dernière intervention
29 juillet 2020
371
2 janv. 2012 à 16:38
2 janv. 2012 à 16:38
Bonjour,
Deux choses : Il manque un espace ici typea+"'[espace]or (et pour tous les autres aussi) et tu n'as pas besoin de parenthèses autour de TPers.
Je ne comprend pas ce que tu veux dire avec "ça fausse tout le resultat" ?
Deux choses : Il manque un espace ici typea+"'[espace]or (et pour tous les autres aussi) et tu n'as pas besoin de parenthèses autour de TPers.
Je ne comprend pas ce que tu veux dire avec "ça fausse tout le resultat" ?
hfdz
Messages postés
8
Date d'inscription
samedi 22 novembre 2008
Statut
Membre
Dernière intervention
12 juin 2012
2 janv. 2012 à 16:49
2 janv. 2012 à 16:49
Bonjour et merci pour la reponse rapide
en fait voila c'est un moteur de rechrche
quand je laisse la partie avec le LIKE si il y a qqchose de rempli dans la variable "+TPers+" il fait la selection en la prenant en compte mais si c'est une autre variable qui est renseigné comme +typea+, la c'est comme si rien n'etait mis c'est a dire qu'il prends le tout
en fait voila c'est un moteur de rechrche
quand je laisse la partie avec le LIKE si il y a qqchose de rempli dans la variable "+TPers+" il fait la selection en la prenant en compte mais si c'est une autre variable qui est renseigné comme +typea+, la c'est comme si rien n'etait mis c'est a dire qu'il prends le tout
Lyle56
Messages postés
240
Date d'inscription
jeudi 1 mai 2008
Statut
Membre
Dernière intervention
19 juillet 2012
2
4 janv. 2012 à 11:04
4 janv. 2012 à 11:04
Bonjour,
Pour t'expliquer ton probléme :
Lorsque tu fait un like tu peut faire aussi sur du "vide", et comme ta syntaxe lui dit de prendre tout ce qui existe avant ou aprés le "vide" cela revient à tout selectionné.
Ensuite juste une remarque : On ne construit JAMAIS (j'insiste la dessus) une requéte sql sans avoir vérifié les variables saisies par un utilisateur. J'espére que dans ton code tu as une méthode qui nettoie les saisies avant de faire ta requéte.
Pour revenir à ton probléme :
Une simple condition devrais suffire :
req"SELECT num_dossier,Date_dossier,Commune,Bien,Type_Acte from dossier where (commune '"+comm+"' or num_dossier='"+numd+"' or Bien='"+bien+"' or "Type_Acte='"+typea+"' ";
if(TPers != null && TPers != "") {
req += " or Personnes Like ('%"+TPers+"%'))";
}
Voila en espérant que cela t'aide.
Sans maitrise, la puissance n'est rien
Il ne faut pas vendre la peau de l'ours, non il ne faut pas.
Pour t'expliquer ton probléme :
Lorsque tu fait un like tu peut faire aussi sur du "vide", et comme ta syntaxe lui dit de prendre tout ce qui existe avant ou aprés le "vide" cela revient à tout selectionné.
Ensuite juste une remarque : On ne construit JAMAIS (j'insiste la dessus) une requéte sql sans avoir vérifié les variables saisies par un utilisateur. J'espére que dans ton code tu as une méthode qui nettoie les saisies avant de faire ta requéte.
Pour revenir à ton probléme :
Une simple condition devrais suffire :
req"SELECT num_dossier,Date_dossier,Commune,Bien,Type_Acte from dossier where (commune '"+comm+"' or num_dossier='"+numd+"' or Bien='"+bien+"' or "Type_Acte='"+typea+"' ";
if(TPers != null && TPers != "") {
req += " or Personnes Like ('%"+TPers+"%'))";
}
Voila en espérant que cela t'aide.
Sans maitrise, la puissance n'est rien
Il ne faut pas vendre la peau de l'ours, non il ne faut pas.
cs_Julien39
Messages postés
6414
Date d'inscription
mardi 8 mars 2005
Statut
Modérateur
Dernière intervention
29 juillet 2020
371
4 janv. 2012 à 11:16
4 janv. 2012 à 11:16
Si tu te demandes pourquoi :
Cherches injection SQL sur google :)
Il te suffit en général de vérifier que ce que l'utilisateur a entré ne contient pas de '
On ne construit JAMAIS (j'insiste la dessus) une requéte sql sans avoir vérifié les variables saisies par un utilisateur.
Cherches injection SQL sur google :)
Il te suffit en général de vérifier que ce que l'utilisateur a entré ne contient pas de '
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
hfdz
Messages postés
8
Date d'inscription
samedi 22 novembre 2008
Statut
Membre
Dernière intervention
12 juin 2012
4 janv. 2012 à 17:02
4 janv. 2012 à 17:02
Bonjour
et un grand merci pour vos réponses rapides et vos conseils
mais ça ne résout pas mon problème,
d'apres ce que tu me propose, si je ne mets rien dans le champ personne, il ne devrai donc pas le prendre en consideration et faire la recherche avec ce que je lui fournit via les autres champs.
or une fois que je rajoute ces ligne
if(TPers != null && TPers != "") {
req += " or Personnes Like ('%"+TPers+"%'))";
}
il ne prend plus en consideration les autres champs, si je ne fournis pas Les personnes, et que je fournis un num de dossier valide, il me donne tout
alors qu'il devrait me donner uniquement l'enregistrement ayant ce num de dossier
et un grand merci pour vos réponses rapides et vos conseils
mais ça ne résout pas mon problème,
d'apres ce que tu me propose, si je ne mets rien dans le champ personne, il ne devrai donc pas le prendre en consideration et faire la recherche avec ce que je lui fournit via les autres champs.
or une fois que je rajoute ces ligne
if(TPers != null && TPers != "") {
req += " or Personnes Like ('%"+TPers+"%'))";
}
il ne prend plus en consideration les autres champs, si je ne fournis pas Les personnes, et que je fournis un num de dossier valide, il me donne tout
alors qu'il devrait me donner uniquement l'enregistrement ayant ce num de dossier
