Point-virgule dans requête MYSQL

Bonjour niuxe,

Ces deux requêtes sont équivalentes :

INSERT INTO table (a, b, c) VALUES (1,2,3)

INSERT INTO table SET a=1, b=2, c=3

Je trouve la deuxième plus claire, surtout s'il y a un paquet de champs à charger.

Mon problème ne provient pas de la syntaxe de la requête qui est bonne pour MySQL, voir ce document.

Bonjour,

Les apostrophes ne protège pas le contenu.

Dans une chaine de caractère délimitée par des quotes, il faut échapper les caractères spéciaux avec le caractère backslash (\) : https://dev.mysql.com/doc/refman/8.4/en/string-literals.html

boteha_2 a écrit :
Ces deux requêtes sont équivalentes :

INSERT INTO table (a, b, c) VALUES (1,2,3);

INSERT INTO table SET a=1, b=2, c=3;

Oui, c'est vrai. La première requête est écrite selon les standards SQL, la deuxième est propre à MySQL.

J'évite la deuxième autant que faire ce peu car j'aime bien rester dans les standards SQL***, mais elle est tout à fait valide.

___
*** De toute façon j'évite d'utiliser MySQL au profit de postgreSQL.

Salut

Si je dis pas de bétises et si tu veux pas échaper les chars, utilise des requête préparer :

$texte = 'c'est l'été';
$stmt = $pdo->prepare("INSERT INTO base (texte) VALUES (:texte)");
$stmt->bindParam(':texte', $texte);
$stmt->execute();

EDIT : en faite je sais même pas si tu utilise php
Modifié par JENCAL (08 Oct 2024 - 10:34)

Bonjour,

Merci de votre suivi.
J'utilise PHP et MySQL que je connais assez bien (je ne connais pas postgreSQL)

Je pense que le problème concerne PHP plus que MySQL.

Je vais essayer vos différentes solutions :
Caractère d'échappement
Requête préparée

Je pense qu'il existe une autre solution propre à ce problème :

INSERT INTO base SET texte =  htmlentities ($texte, ENT_QUOTES, 'UTF-8') ;

Je reviens après mes essais.
Modifié par boteha_2 (08 Oct 2024 - 12:51)

Bonjour JENCAL,

Ok, c'est compris.

Pour info j'ai fait l'essai avec échappement.
Le script PHP s'exécute mais signale une erreur mysql et n'enregistre pas la valeur.

Je ferai un essai en requête préparée.

boteha_2 a écrit :
Bonjour,


En MuSQL :

$insert = "INSERT INTO base SET champ_1 = $champ_1";

if (champ_2 != '') $insert  .= " , champ_2 = $champ_2";

Avec ce genre de pratique, malheureusement tu n'appliques aucun contrôle de données, tu ouvre la porte à toutes pratiques malveillante.
Modifié par JENCAL (10 Oct 2024 - 10:27)

JENCAL a écrit :


Avec ce genre de pratique, malheureusement tu n'appliques aucun contrôle de données, tu ouvre la porte à toutes pratiques malveillante.

un gros +1 Mais ça ne résout pas son problème sous-jacent.

@boteha_2 : Comment est la définition de ta table "base" ? Si je ne dis pas de bétise, tu peux tout simplement déclarer ta table comme ceci :

CREATE TABLE IF NOT EXISTS base(
    id INT PRIMARY KEY AUTO_INCREMENT,
    un_champ VARCHAR(255) NOT NULL DEFAULT ''
)

Autres manières de faire à partir de $_POST. Comme je te l'ai indiqué précédemment, ton histoire de SET dans ton insertion, c'est bof bof. Voici un exemple¹

le html :

<!DOCTYPE html>
<html lang="en">
    <head>
        <meta charset="UTF-8">
        <title>form</title>
        <link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/foundation-sites@6.9.0/dist/css/foundation.min.css" crossorigin="anonymous">
    <style>
        main{
            margin: 50px 0;
        }
        .button, input[type="text"]{
            margin:0;
        }
        .cell:last-child{
            justify-content: flex-end;
        }
        .error{
            color:#cc4b37;
        }
    </style>
    </head>
    <body>
        <main>
            <form method="post" class="grid-container">
                <div class="grid-x grid-margin-x">
                    <label class="cell medium-4">
                        <strong>Prenom</strong>
                        <input type="text" name="firstname" value="<?= !empty($_POST['firstname'])? $_POST['firstname'] : ''?>">
                    </label>
                    <label class="cell medium-4">
                        <strong>Nom</strong>
                        <input type="text" name="lastname" value="<?= !empty($_POST['lastname'])? $_POST['lastname'] : ''?>">
                        <?= isset($_POST['errors']['lastname'])? "<span class='error'>".$_POST['errors']['lastname']."</span>" : "" ?>
                    </label>
                    <div class="cell medium-4 flex-container flex-dir-column">
                        <button type="submit" class="button expanded">envoyer</button>
                    </div>
                </div>
            </form>
        </main>
    </body>
</html>

le contrôleur:

<?php
if(!empty($_POST)){
    // nettoie
    $clean_methods = [
        'trim',
        'strip_tags',
        'htmlspecialchars',
    ];
    foreach($clean_methods as $method){
        $_POST = array_map($method, $_POST);
    }

    // validation
    foreach($_POST as $k => $v){
        if($k === 'lastname' && empty($v)){
            $_POST['errors'][$k] = "Ce champ ne doit pas être vide";
        }
    }

    // insertion en base
    if(!isset($_POST['errors'])){
        $fields = array_filter($_POST, function($v, $k){
            return !empty($v);
        },  ARRAY_FILTER_USE_BOTH);
        $keys_fields = array_keys($fields);

        $sql = vsprintf("INSERT INTO base (%s) VALUES(:%s)", [
            implode(', ', $keys_fields), 
            implode(', :', $keys_fields)
        ]);

        $statement = $pdo->prepare($sql);
        foreach($fields as $k => $v){
            $statement->bindParam(':'.$k, $v);
        }
        $statement->execute();
    }
}
?>

_____
¹ Si une personne peut vérifier ce code. Je ne fais plus de php depuis un bon moment. Je peux avoir fait une ou plusieurs erreurs.
Modifié par niuxe (10 Oct 2024 - 14:10)

Bonjour,

Merci de votre suivi.

Je me suis replongé dans le problème à tête reposé.

1) Le problème du champ coupé par un point-virgule n'a rien à voir avec la requête SQL.
J'importe un fichier .csv depuis Excel.

Pour séparer les cellules je dois demander :

$v = valeur-1;valeur_2;valeur_3; etc...
$vv = explode (';', $v);

Dès qu'une valeur contient un point-virgule il y a forcément un problème...

Comme malgré tout je préfère des entités html j'utilise htmlentities après l'explode.

htmlentities (iconv ('cp1252', 'UTF-8//TRANSLIT', $vv[10]), ENT_QUOTES, 'UTF-8')

Cette saleté d'Excel ne pouvant pas être codée en UTF-8 je suis obligé de recoder avec iconv.

Bon, maintenant cela fonctionne que la requête soit de type MySQL avec SET ou SQL avec VALUES.

2) Dans l'idée de me préparer aux requêtes préparées j'ai adoptée la requête avec VALUES.

Je commence par remplir un array (), puis :

foreach ($tabrequete AS $kkk => $vvv)
{
$champ .= ', ' . $kkk;
$valeur .= ', ' . $vvv;
}

$requete = "INSERT INTO base (" . mb_substr ($champ, 2) . ") VALUES (" . mb_substr ($valeur, 2) . ")";

Moins élégant que le code de niuxe mais ça marche.

Comme il s'agit d'un programme d'administration je n'ai aucun risque d'injection, donc une requête préparée me semble inutile.

Je vais me lancer dans les requêtes préparées pour le traitement des variables entrées par les utilisateurs, je reviendrais vers vous si problème.
Modifié par boteha_2 (13 Oct 2024 - 20:00)

boteha_2 a écrit :
Bonjour,
Comme il s'agit d'un programme d'administration je n'ai aucun risque d'injection, donc une requête préparée me semble inutile.

C'est pas parce que j'ai mis des volets chez moi, que les cambrioleurs peuvent pas cambrioler

j'exagère mais c'est pareil

Salut,

je comprends pas tout a tes explications mais bon

Je n'utilise presque jamais excel mais je trouve très étonnant que tu ne puisse pas importer (ou exporter ? j'ai pas compris..) un csv en utf8 avec excel.

Ensuite, j'ai l'impression que tu parses le fichier csv en php. Cela ne me semble pas une bonne idée de le faire avec explode .
Je dirais de plutôt regarder du coté des fonctions php pour manipuler du csv : https://www.php.net/manual/en/function.str-getcsv.php (ou du coté des trucs avec des regex genre https://www.php.net/manual/fr/function.preg-split.php )