On peut entrer dans le champ titre non seulement un titre de film complet, mais aussi des titres partiels, complétés par le caractère « % » qui signifie, pour SQL, une chaîne quelconque.
Trang 1< t i t l e > F o r m u l a i r e p o u r s c r i p t PHP / MySQL< / t i t l e >
< l i n k r e l = ’ s t y l e s h e e t ’ h r e f = " f i l m s c s s " t y p e = " t e x t / c s s " / >
< / head>
<body>
<h1> F o r m u l a i r e p o u r s c r i p t PHP / MySQL< / h1>
<form a c t i o n = " ExMyPHP2 php " method = ’ g e t ’ >
Ce f o r m u l a i r e v o u s p e r m e t d ’ i n d i q u e r d e s p a r a m é t r e s p o u r
l a r e c h e r c h e de f i l m s :
<p>
T i t r e : < i n p u t t y p e = ’ t e x t ’ s i z e = ’ 2 0 ’ name = ’ t i t r e ’ v a l u e = ’ % ’ /
>< b r / >
Le c a r a c t è r e ’% ’ r e m p l a c e n ’ i m p o r t e q u e l l e c h a î n e
< / p><p>
Année d é b u t : < i n p u t t y p e = ’ t e x t ’ s i z e = ’ 4 ’ name = ’ anMin ’ v a l u e
= ’ 1 9 0 0 ’ / >
Année f i n : < i n p u t t y p e = ’ t e x t ’ s i z e = ’ 4 ’ name = ’ anMax ’ v a l u e
= ’ 2 1 0 0 ’ / > < b r / >
<b>Comment c o m b i n e r c e s c r i t è r e s < / b>
ET < i n p u t t y p e = ’ r a d i o ’ name = ’ comb ’ v a l u e = ’ET ’ c h e c k e d = ’ 1 ’ / >
OU < i n p u t t y p e = ’ r a d i o ’ name = ’ comb ’ v a l u e = ’OU’ / > ?
<p / >
< i n p u t t y p e = ’ s u b m i t ’ v a l u e = ’ R e c h e r c h e r ’ / >
< / form>
< / body>
< / html>
L’attribut action fait référence au script PHP à exécuter On peut entrer dans le champ titre non seulement un titre de film complet, mais aussi des titres partiels, complétés par le caractère « % » qui signifie, pour SQL, une chaîne quelconque Donc on peut, par exemple, rechercher tous les films commençant par « Ver » en entrant « Ver% », ou tous les films contenant un caractère blanc avec « % % » Le fichier ci-dessous est le script PHP associé au formulaire précédent Pour plus de concision, nous avons omis tous les tests portant sur la connexion et l’exécution
de la requête SQL qui peuvent – devraient – être repris comme dans l’exemple 1.6, page 37
Exemple 1.10 exemples/ExMyPHP2.php:Le script associé au formulaire de l’exemple 1.9
<? xml v e r s i o n = " 1 0 " e n c o d i n g = " i s o−8959−1 " ? >
<!DOCTYPE html PUBLIC "−//W3C/ / DTD XHTML 1 0 S t r i c t / / EN"
" h t t p : / / www w3 o r g / TR / xhtml1 /DTD/ xhtml1−s t r i c t dtd ">
<html xmlns= " h t t p : / / www w3 o r g / 1 9 9 9 / xhtml " xml : l a n g = " f r " >
<head >
< t i t l e > R é s u l t a t de l ’ i n t e r r o g a t i o n < / t i t l e >
Trang 2< l i n k r e l = ’ s t y l e s h e e t ’ h r e f =" f i l m s c s s " t y p e =" t e x t / c s s " / >
</ head >
<body >
<h1> R é s u l t a t de l ’ i n t e r r o g a t i o n p a r f o r m u l a i r e < / h1>
<? php
r e q u i r e ( " Connect php " ) ;
/ / P r e n o n s l e s v a r i a b l e s d a n s l e t a b l e a u C ’ e s t s û r e m e n t
/ / l e b o n e n d r o i t p o u r e f f e c t u e r d e s c o n t r ô l e s
$ t i t r e = $_GET [ ’ t i t r e ’ ] ;
$anMin = $_GET [ ’ anMin ’ ] ;
$anMax = $_GET [ ’ anMax ’ ] ;
$comb = $_GET [ ’ comb ’ ] ;
echo " <b> T i t r e = $ t i t r e anMin = $anMin anMax=$anMax\n " ;
echo " C o m b i n a i s o n l o g i q u e : $comb < / b>< b r / >\n " ;
/ / C r é o n s l a r e q u ê t e e n t e n a n t c o m p t e d e l a c o m b i n a i s o n l o g i q u e
i f ( $comb == ’ ET ’ )
$ r e q u e t e = " SELECT ∗ FROM FilmSimple "
"WHERE t i t r e LIKE ’ $ t i t r e ’ "
"AND annee BETWEEN $anMin and $anMax " ;
e l s e
$ r e q u e t e = " SELECT ∗ FROM FilmSimple "
"WHERE t i t r e LIKE ’ $ t i t r e ’ "
"OR ( annee BETWEEN $anMin and $anMax ) " ;
$ c o n n e x i o n = m y s q l _ p c o n n e c t (SERVEUR , NOM, PASSE ) ;
m y s q l _ s e l e c t _ d b (BASE , $ c o n n e x i o n ) ;
/ / E x é c u t i o n e t a f f i c h a g e d e l a r e q u ê t e
$ r e s u l t a t = m y s q l _ q u e r y ( $ r e q u e t e , $ c o n n e x i o n ) ;
w h i l e ( ( $ f i l m = m y s q l _ f e t c h _ o b j e c t ( $ r e s u l t a t ) ) )
echo " $ f i l m−>t i t r e , paru en $film −>annee , r é a l i s é "
" p a r $ f i l m−>p r e n o m _ r e a l i s a t e u r $film −>n o m _ r e a l i s a t e u r < br
/ >\n " ;
? >
</ body >
</ html >
Les variables $titre, $anMin, $anMax et $comb sont placées dans le tableau
$_GET (noter que le formulaire transmet ses données en mode get) Pour clarifier le code, on les place dans des variables simples au début du script :
$titre = $_GET[’titre’];
$anMin = $_GET[’anMin’];
$anMax = $_GET[’anMax’];
Trang 3En testant la valeur de $comb, qui peut être soit « ET », soit « OU », on détermine quel est l’ordre SQL à effectuer Cet ordre utilise deux comparateurs, LIKE et
BETWEEN LIKE est un opérateur de pattern matching : il renvoie vrai si la variable
$titre de PHP peut être rendue égale à l’attribut titre en remplaçant dans $titre
le caractère ’%’ par n’importe quelle chaîne
La requête SQL est placée dans une chaîne de caractères qui est ensuite exécutée
$ r e q u e t e = " SELECT ∗ FROM FilmSimple "
"WHERE t i t r e LIKE ’ $ t i t r e ’ "
"AND annee BETWEEN $anMin and $anMax " ; Dans l’instruction ci-dessus, on utilise la concaténation de chaînes (opérateur
« ») pour disposer de manière plus lisible les différentes parties de la requête On exploite ensuite la capacité de PHP à reconnaître l’insertion de variables dans une chaîne (grâce au préfixe $) et à remplacer ces variables par leur valeur En supposant que l’on a saisi Vertigo, 1980 et 2000 dans ces trois champs, la variable $requete sera la chaîne suivante :
WHERE t i t r e LIKE ’ V e r t i g o ’
AND annee BETWEEN 1980 AND 2000
Il faut toujours encadrer une chaîne de caractères comme $titre par des apos-trophes simples « ’ » car MySQL ne saurait pas faire la différence entre Vertigo et le nom d’un attribut de la table De plus cette chaîne de caractères peut éventuellement contenir des blancs, ce qui poserait des problèmes Les apostrophes simples sont acceptées au sein d’une chaîne encadrée par des apostrophes doubles, et réciproque-ment
REMARQUE –Que se passe-t-il si le titre du film contient lui même des apostrophes simples, comme, par exemple, «L’affiche rouge» ? Et bien il faut préfixer par «\», avant la transmission à MySQL, tous les caractères qui peuvent être interprétés comme des délimiteurs
de chaîne (et plus généralement tous les caractères spéciaux) La chaîne transmise sera donc
L\’affiche rouge, et MySQL interprétera correctement cet apostrophe comme faisant partie de la chaîne et pas comme un délimiteur.
Ce comportement de PHP est activé par l’option magic_quotes_gpc qui se trouve dans le fichier de configurationphp.ini Cette option tend à être à Offdans les versions récentes de PHP, et il faut alors recourir aux fonctions addSlashes() (ou, mieux,
mysql_escape_string()) etstripSlashes()qui permettent d’ajouter ou des sup-primer les caractères d’échappement dans une chaîne de caractères Nous reviendrons longuement sur cet aspect délicat dans le prochain chapitre.
En revanche, les apostrophes sont inutiles pour les valeurs numériques comme
$anMin et $anMax qui ne peuvent être confondus avec des noms d’attribut et ne soulèvent donc pas de problème d’interprétation Il faut quand même noter que nous
ne faisons aucun contrôle sur les valeurs saisies, et qu’un utilisateur malicieux qui place des caractères alphanumériques dans les dates, ou transmet des chaînes vides, causera quelques soucis à ce script (vous pouvez d’ailleurs essayer, sur notre site)
Trang 4Une dernière remarque : ce script PHP est associé au formulaire de l’exemple 1.9 puisqu’il attend des paramètres que le formulaire a justement pour objectif de collec-ter et transmettre Cette association est cependant assez souple pour que tout autre moyen de passer des paramètres (dans le bon mode, get ou post) au script soit acceptée Par exemple l’introduction des valeurs dans l’URL, sous la forme ci-dessous, est tout à fait valable puisque les variables sont attendues en mode get
ExMyPHP2.php?titre=Vert%&anMin=1980&anMax=2000&comb=OR
Pour tout script, on peut donc envisager de se passer du formulaire, soit en utilisant la méthode ci-dessus si la méthode est get, soit en développant son propre formulaire ou tout autre moyen de transmettre les données en mode post Il est
pos-sible par exemple de récupérer la description (sous forme HTML) du film Vertigo avec l’URL http://us.imdb.com/Title?Vertigo, qui fait directement appel à un programme web du site imdb.com Cela signifie en pratique que l’on n’a pas de garantie sur la
provenance des données soumises à un script, et qu’elles n’ont pas forcément été soumises aux contrôles (JavaScript ou autres) du formulaire prévu pour être associé
à ce script Des vérifications au niveau du serveur s’imposent, même si nous les omettons souvent dans ce livre pour ne pas alourdir nos exemples
1.4.3 Formulaires de mises à jour
L’interaction avec un site comprenant une base de données implique la possibilité
d’effectuer des mises à jour sur cette base Un exemple très courant est l’inscription
d’un visiteur afin de lui accorder un droit d’utilisation du site Là encore les formu-laires constituent la méthode normale de saisie des valeurs à placer dans la base Nous donnons ci-dessous l’exemple de la combinaison d’un formulaire et d’un script PHP pour effectuer des insertions, modifications ou destructions dans la base
de données des films Cet exemple est l’occasion d’étudier quelques techniques plus avancées de définition de tables avec MySQL et de compléter le passage des paramètres entre le formulaire et PHP
Une table plus complète
L’exemple utilise une version plus complète de la table stockant les films
Exemple 1.11 exemples/FilmComplet.sql:Fichier de création de FilmComplet
/∗ C r é a t i o n d ’ une t a b l e F i l m C o m p l e t ∗ /
CREATE TABLE F i l m C o m p l e t
( t i t r e VARCHAR ( 3 0 ) ,
n o m _ r e a l i s a t e u r VARCHAR ( 3 0 ) ,
p r e n o m _ r e a l i s a t e u r VARCHAR ( 3 0 ) ,
a n n e e _ n a i s s a n c e INTEGER,
p a y s ENUM ( " FR " , "US" , "DE" , " J P " ) ,
Trang 5g e n r e SET ( "C" , "D" , "H" , " S " ) ,
)
;
La table FilmComplet comprend quelques nouveaux attributs, dont trois utilisent
des types de données particuliers
1 l’attribut pays est un type énuméré : la valeur – unique – que peut prendre cet
attribut doit appartenir à un ensemble donné explicitement au moment de la création de la table avec le type ENUM ;
2 l’attribut genre est un type ensemble : il peut prendre une ou plusieurs valeurs
parmi celle qui sont énumérées avec le type SET ;
3 enfin l’attribut resume est une longue chaîne de caractères de type TEXT dont
la taille peut aller jusqu’à 65 535 caractères (soit 216− 1: la longueur de la
chaîne est codée sur 2 octets = 16 bits)
Ces trois types de données ne font pas partie de la norme SQL En particulier, une des règles de base dans un SGBD relationnel est qu’un attribut, pour une ligne donnée, ne peut prendre plus d’une seule valeur Le type SET de MySQL permet de s’affranchir – partiellement – de cette contrainte On a donc décidé ici qu’un film pouvait appartenir à plusieurs genres
Le formulaire
Le formulaire permettant d’effectuer des mises à jour sur la base (sur la table
Film-Complet) est donné ci-dessous.
Exemple 1.12 exemples/ExForm4.html:Formulaire de mise à jour
< ? xml v e r s i o n = " 1 0 " e n c o d i n g = " i s o−8959−1 " ?>
< !DOCTYPE html PUBLIC "−//W3C/ / DTD XHTML 1 0 S t r i c t / / EN"
" h t t p : / / www w3 o r g / TR / xhtml1 /DTD/ xhtml1−s t r i c t dtd ">
<html xmlns= " h t t p : / / www w3 o r g / 1 9 9 9 / xhtml " xml : l a n g = " f r " >
<head>
< t i t l e > F o r m u l a i r e c o m p l e t < / t i t l e >
< l i n k r e l = ’ s t y l e s h e e t ’ h r e f = " f i l m s c s s " t y p e = " t e x t / c s s " / >
< / head>
<body>
<form a c t i o n = " ExMyPHP3 php " method = ’ p o s t ’ >
T i t r e : < i n p u t t y p e = ’ t e x t ’ s i z e = ’ 2 0 ’ name= " t i t r e " / >< b r / >
Année : < i n p u t t y p e = ’ t e x t ’ s i z e = ’ 4 ’ m a x l e n g t h = ’ 4 ’
name= " annee " v a l u e = " 2000 " / >
<p>
Comédie : < i n p u t t y p e = ’ checkbox ’ name = ’ g e n r e [ ] ’ v a l u e = ’C ’ / >
Drame : < i n p u t t y p e = ’ checkbox ’ name = ’ g e n r e [ ] ’ v a l u e = ’D ’ / >