Requête SQL
Résolu/Fermé
A voir également:
- Requête SQL
- Blob sql ✓ - Forum Webmastering
- Récupération serveur sql - Télécharger - Gestion de données
- Sql lister les tables ✓ - Forum Programmation
- Requête sql doublons sur 2 champs ✓ - Forum Programmation
- Erreur lors de l'envoi de la requête facebook marketplace - Forum Facebook
3 réponses
Utilisateur anonyme
29 mai 2013 à 16:18
29 mai 2013 à 16:18
Bonjour
C'est normal que ça ne marche pas avec une apostrophe. L'apostrophe sert à délimiter les valeurs que tu mets dans VALUES.
Pour éviter ça, il faut "échapper" les apostrophes (et autres caractères spéciaux, d'ailleurs) avant d'insérer tes données dans ta requête :
C'est normal que ça ne marche pas avec une apostrophe. L'apostrophe sert à délimiter les valeurs que tu mets dans VALUES.
Pour éviter ça, il faut "échapper" les apostrophes (et autres caractères spéciaux, d'ailleurs) avant d'insérer tes données dans ta requête :
extract($_POST); // très dangereux....
$titre = mysql_real_escape_string($titre);
$contenu = mysql_real_escape_string($contenu);
$sql = "INSERT INTO test(titre,contenu) VALUES ('$titre','$contenu')";
$req = mysql_query($sql) or die ('Erreur SQL !<br />'.$sql.'<br />'.mysql_error());
Utilisateur anonyme
29 mai 2013 à 16:14
29 mai 2013 à 16:14
Bonjour, je vais répondre mais je suis pas sur de mon coups...moi je ferais cela
je transformerais la string en tableau et avec une boucle je chercherais l'apostrophe. Si il y en as un j'insérerais un \ pour l'échapper.
j 'espère que cela peut vous aider
bonne journée
je transformerais la string en tableau et avec une boucle je chercherais l'apostrophe. Si il y en as un j'insérerais un \ pour l'échapper.
j 'espère que cela peut vous aider
bonne journée
Merci ça marche !
Pourquoi cette méthode est dangereuse ? Je découvre tout juste donc je sais pas grand chose :)
Pourquoi cette méthode est dangereuse ? Je découvre tout juste donc je sais pas grand chose :)
le extract($_POST) est dangereux car il crée des variables dans ton programme en dehors de ton contrôle. Il est très facile de modifier un formulaire et de l'envoyer à ton script.
Si j'ajoute dans le formulaire un champ que j'appelle 'admin' et auquel je donne la valeur 1, ça va créer dans ton programme une variable $admin qui vaudra 1. Tu imagines les possibilités ?
Il est nettement préférable d'extraire soi-même une par une les variables auxquelles on s'attend :
Si j'ajoute dans le formulaire un champ que j'appelle 'admin' et auquel je donne la valeur 1, ça va créer dans ton programme une variable $admin qui vaudra 1. Tu imagines les possibilités ?
Il est nettement préférable d'extraire soi-même une par une les variables auxquelles on s'attend :
$titre = mysql_real_escape_string($_POST['titre']); $contenu = mysql_real_escape_string($_POST['contenu']);
