Pourquoi mon script jQuery ne récupère que la dernière valeur du foreach Smarty ?

C'est le piège le plus courant. Si vous utilisez un sélecteur de classe comme `$('.test').text()`, jQuery cible le premier élément trouvé (ou le dernier si vous écrasez une variable dans une boucle). La solution est d'utiliser des attributs `data-*` sur chaque élément du foreach, puis `$(this).data('key')` dans le gestionnaire d'événement pour cibler précisément l'élément avec lequel l'utilisateur interagit.

Faut-il toujours utiliser {literal} dans les templates Smarty pour le JavaScript ?

Uniquement si votre code JavaScript est écrit directement dans le fichier `.tpl`. La balise `{literal}` empêche Smarty d'interpréter les accolades comme des délimiteurs de template. La meilleure pratique sur PrestaShop 1.7 et 8.x est de placer le JavaScript dans un fichier `.js` externe chargé via `$this->context->controller->addJS()` et de passer les variables PHP avec `Media::addJsDef()`. Ainsi, `{literal}` devient inutile.

Comment passer plusieurs variables Smarty à un appel AJAX dans PrestaShop ?

Placez chaque variable dans un attribut `data-*` distinct sur l'élément HTML : `data-id="{$item.id|intval}"`, `data-name="{$item.name|escape:'html':'UTF-8'}"`. Côté JavaScript, récupérez-les avec `$(this).data('id')` et `$(this).data('name')`, puis passez-les dans l'objet `data` de `$.ajax()` sous forme de paires clé-valeur. jQuery se chargera de l'encodage URL automatiquement.

Quelle est la différence entre .val(), .text(), .html() et .data() en jQuery ?

`.val()` récupère la valeur d'un champ de formulaire (input, select, textarea) — il renvoie `undefined` sur un div ou un paragraphe. `.text()` récupère le contenu textuel visible d'un élément. `.html()` récupère le contenu HTML interne. `.data('key')` lit un attribut `data-key` du DOM (avec mise en cache par jQuery). Pour transmettre des identifiants ou des paramètres depuis Smarty vers jQuery, `.data()` est la méthode la plus propre et la plus fiable.

Comment sécuriser un appel AJAX dans un module PrestaShop ?

Trois mesures essentielles : 1) Utilisez un token CSRF généré par `Tools::getToken(false)` côté PHP et vérifié à chaque requête AJAX. 2) Passez par un contrôleur front dédié (`ModuleFrontController`) plutôt qu'un fichier PHP isolé accessible directement. 3) Validez systématiquement les données reçues côté serveur avec `(int)`, `pSQL()` ou les méthodes de validation de PrestaShop. Ne faites jamais confiance aux données envoyées par le client, même si elles proviennent d'attributs que vous avez générés.

Passer une variable Smarty dans jQuery sur PrestaShop

Le problème : Smarty et JavaScript ne parlent pas le même langage

Quand on développe un module ou un thème PrestaShop, on se retrouve tôt ou tard face à ce mur : comment récupérer une variable Smarty (côté serveur) dans un script jQuery (côté client) ?

La tentation naturelle est d'écrire quelque chose comme :


var idmsg = $(".test").val();

Mais .val() ne fonctionne que sur les éléments de formulaire (input, select, textarea). Sur un

ou un

, il renvoie undefined. Et même en utilisant .text() ou .html(), le vrai piège arrive quand on travaille dans une boucle {foreach} : le sélecteur de classe cible tous les éléments portant cette classe, et jQuery ne récupère que la valeur du premier (ou du dernier, selon la méthode).

Voici la bonne approche, propre et maintenable.

Solution : les attributs HTML5 `data-*` combinés à `{literal}`

La technique repose sur deux mécanismes complémentaires :

**Les attributs `data-*`** du HTML5 pour injecter la valeur Smarty dans le DOM
**La balise `{literal}`** de Smarty pour empêcher l'interprétation des accolades jQuery comme du Smarty

Pourquoi `{literal}` est indispensable

Smarty utilise les accolades {} comme délimiteurs. Or jQuery et JavaScript en font un usage intensif (objets, fonctions, callbacks). Sans {literal}, Smarty tente d'interpréter chaque { de votre code JavaScript et provoque des erreurs de compilation du template.


{literal}
<script type="text/javascript">
// Ici, les accolades sont protégées de Smarty
jQuery(document).ready(function() {
    // Votre code JS en toute sécurité
});
</script>
{/literal}

PrestaShop 1.7+ et 8.x : Si vous utilisez les fichiers .js séparés (bonne pratique), le problème {literal} ne se pose plus puisque Smarty ne traite pas les fichiers JavaScript externes. Privilégiez cette approche dans vos modules modernes.

Le template : injecter les données dans le DOM

Dans votre fichier .tpl, utilisez les attributs data-* pour attacher chaque valeur Smarty à son élément HTML :


{foreach from=$messages item=message name=messageLoop}
<div class="message-item" data-id="{$message.id_msg|intval}">
    <div class="message-content">
        {$message.content|escape:'html':'UTF-8'}
    </div>
    <button class="btn-mark-read" data-id="{$message.id_msg|intval}">
        Marquer comme lu
    </button>
</div>
{/foreach}

Points importants :

**`|intval`** sur les identifiants numériques pour se prémunir contre les injections XSS
**`|escape:'html':'UTF-8'`** sur tout contenu textuel affiché
L'attribut `data-id` est **unique à chaque itération** du `foreach`, contrairement à une classe CSS qui serait partagée par tous les éléments

Le JavaScript : récupérer la bonne valeur au clic


{literal}
<script type="text/javascript">
jQuery(document).ready(function($) {
    $('.btn-mark-read').on('click', function(e) {
        e.preventDefault();

        // $(this) cible le bouton cliqué, pas tous les boutons
        var idMsg = $(this).attr('data-id');
        // Ou en syntaxe moderne : $(this).data('id');

        $.ajax({
            url: '{/literal}{$module_dir}{literal}ajax/mark-read.php',
            type: 'POST',
            data: {
                id_msg: idMsg,
                token: '{/literal}{$token}{literal}'
            },
            dataType: 'json',
            success: function(response) {
                if (response.success) {
                    // Retirer visuellement le message ou changer son style
                    $(e.target).closest('.message-item').addClass('read');
                }
            },
            error: function(xhr, status, error) {
                console.error('Erreur AJAX:', error);
            }
        });
    });
});
</script>
{/literal}

Le secret est dans $(this) : à l'intérieur du gestionnaire d'événement click, this référence l'élément précis qui a été cliqué, pas l'ensemble des éléments correspondant au sélecteur. C'est ce qui résout le problème du foreach.

Pourquoi `.val()` et `.text()` échouent dans une boucle

Pour bien comprendre le piège, détaillons ce qui se passe avec les approches naïves :

`Échec total `$('.test').text()`Cible le premier élément `.test` uniquementToujours la même valeur `$('.test').each()`Parcourt tous les éléments mais sans contexte de clicPas de lien avec l'interaction utilisateur `$(this).data('id')`Cible l'élément cliqué précisémentValeur correcte à chaque clic

Approche moderne : PrestaShop 1.7+ et 8.x

Sur les versions modernes de PrestaShop, la bonne pratique est de séparer complètement le JavaScript du template Smarty.

1. Enregistrer le script dans votre module


public function hookDisplayHeader()
{
    // Passer les données PHP → JS via Media::addJsDef
    Media::addJsDef([
        'myModuleAjaxUrl' => $this->context->link->getModuleLink(
            $this->name,
            'ajax',
            [],
            true
        ),
        'myModuleToken' => Tools::getToken(false)
    ]);

    $this->context->controller->addJS(
        $this->_path . 'views/js/front.js'
    );
}

2. Le fichier JavaScript externe


// views/js/front.js
// Pas besoin de {literal} puisque Smarty ne traite pas ce fichier

jQuery(document).ready(function($) {
    $(document).on('click', '.btn-mark-read', function(e) {
        e.preventDefault();
        var idMsg = $(this).data('id');

        $.ajax({
            url: myModuleAjaxUrl,
            type: 'POST',
            data: {
                action: 'markAsRead',
                id_msg: idMsg,
                token: myModuleToken
            },
            dataType: 'json',
            success: function(response) {
                if (response.success) {
                    $(e.target).closest('.message-item')
                        .fadeOut(300, function() {
                            $(this).addClass('read').fadeIn(300);
                        });
                }
            }
        });
    });
});

3. Le contrôleur AJAX côté module


// controllers/front/ajax.php
class MyModuleAjaxModuleFrontController extends ModuleFrontController
{
    public function initContent()
    {
        if (!Tools::getIsset('token')
            || Tools::getValue('token') !== Tools::getToken(false)) {
            die(json_encode(['success' => false, 'error' => 'Invalid token']));
        }

        $action = Tools::getValue('action');

        if ($action === 'markAsRead') {
            $idMsg = (int) Tools::getValue('id_msg');
            // Votre logique métier ici
            $result = Db::getInstance()->update(
                'my_messages',
                ['is_read' => 1],
                'id_msg = ' . $idMsg
            );
            die(json_encode(['success' => (bool) $result]));
        }
    }
}

Cette architecture est plus propre, plus sécurisée (token CSRF, contrôleur dédié) et plus facile à déboguer.

Les erreurs classiques à éviter

1. Oublier d'échapper les variables Smarty


{* DANGEREUX — injection XSS possible *}
<div data-name="{$message.name}">

{* CORRECT *}
<div data-name="{$message.name|escape:'html':'UTF-8'}">

2. Construire la query string manuellement


// FRAGILE — pas d'encodage, pas de structure
var dataString = '&idmsg=' + idmsg;

// CORRECT — jQuery encode automatiquement
$.ajax({
    data: { id_msg: idmsg }
});

3. Ne pas valider côté serveur

Même si la valeur vient d'un attribut data-* que vous avez généré, validez toujours côté PHP :


$idMsg = (int) Tools::getValue('id_msg');
if ($idMsg <= 0) {
    die(json_encode(['success' => false, 'error' => 'ID invalide']));
}

4. Utiliser `.click()` au lieu de `.on('click')`

Si vos éléments sont générés dynamiquement (AJAX, pagination), .click() ne fonctionnera pas sur les nouveaux éléments. Utilisez la délégation d'événements :


// Ne fonctionne PAS sur les éléments ajoutés après le chargement
$('.btn-mark-read').click(function() { ... });

// Fonctionne TOUJOURS grâce à la délégation
$(document).on('click', '.btn-mark-read', function() { ... });

Récapitulatif

#smarty #jquery #javascript #ajax #templates #data-attributes

Questions fréquentes

Tout ce que vous devez savoir sur ce sujet.

: C'est le piège le plus courant. Si vous utilisez un sélecteur de classe comme `$('.test').text()`, jQuery cible le premier élément trouvé (ou le dernier si vous écrasez une variable dans une boucle). La solution est d'utiliser des attributs `data-*` sur chaque élément du foreach, puis `$(this).data('key')` dans le gestionnaire d'événement pour cibler précisément l'élément avec lequel l'utilisateur interagit.
: Uniquement si votre code JavaScript est écrit directement dans le fichier `.tpl`. La balise `{literal}` empêche Smarty d'interpréter les accolades comme des délimiteurs de template. La meilleure pratique sur PrestaShop 1.7 et 8.x est de placer le JavaScript dans un fichier `.js` externe chargé via `$this->context->controller->addJS()` et de passer les variables PHP avec `Media::addJsDef()`. Ainsi, `{literal}` devient inutile.
: Placez chaque variable dans un attribut `data-*` distinct sur l'élément HTML : `data-id="{$item.id|intval}"`, `data-name="{$item.name|escape:'html':'UTF-8'}"`. Côté JavaScript, récupérez-les avec `$(this).data('id')` et `$(this).data('name')`, puis passez-les dans l'objet `data` de `$.ajax()` sous forme de paires clé-valeur. jQuery se chargera de l'encodage URL automatiquement.
: `.val()` récupère la valeur d'un champ de formulaire (input, select, textarea) — il renvoie `undefined` sur un div ou un paragraphe. `.text()` récupère le contenu textuel visible d'un élément. `.html()` récupère le contenu HTML interne. `.data('key')` lit un attribut `data-key` du DOM (avec mise en cache par jQuery). Pour transmettre des identifiants ou des paramètres depuis Smarty vers jQuery, `.data()` est la méthode la plus propre et la plus fiable.
: Trois mesures essentielles : 1) Utilisez un token CSRF généré par `Tools::getToken(false)` côté PHP et vérifié à chaque requête AJAX. 2) Passez par un contrôleur front dédié (`ModuleFrontController`) plutôt qu'un fichier PHP isolé accessible directement. 3) Validez systématiquement les données reçues côté serveur avec `(int)`, `pSQL()` ou les méthodes de validation de PrestaShop. Ne faites jamais confiance aux données envoyées par le client, même si elles proviennent d'attributs que vous avez générés.

Un projet PrestaShop ?

Discutons-en directement.

★★★★★

193 projets livrés

Lire sur le blog

PrestaShop headless avec Nuxt 3 : pourquoi séparer back et front PrestaShop headless : Nuxt 3, pas Next.js — le choix souverain Sylius rachète PrestaShop : ce que ça change pour vous

Blog technique

Articles approfondis sur l'e-commerce headless

CodeMyShop

Votre boutique PrestaShop clé en main

Alexandre Carette

Expert PrestaShop & Architecture E-commerce

Développeur PrestaShop depuis 2014, 193 projets livrés. Je conçois des architectures headless Nuxt + PrestaShop et des outils d'automatisation IA pour les e-commerçants.

contact@alexandrecarette.fr ← Tous les articles