remplacer caracteres dans une boucle Fermé

Question

Bonjour, je suis confronte a un probleme dont je ne sais pas s'il existe ou pas une solution. J'ai un code qui affiche le contenu d'une table selon des criteres. Mais parfois dans cette table il peut y avoir un apostrophe dans les valeurs que je recupere et je souhaiterais effectuer un replace dessus avant affichage mais je n'y arrive pas. Je vous met les morceaux de code concernes La requete sur les donnees if (empty($lettre) && empty($categorie)) {$req = mysql_query("select * from manga order by id desc limit 0,25") or die( 'Erreur '.$req.'
'.mysql_error() );} else if (isset($categorie) && empty($lettre)) {$req = mysql_query("select * from manga where type LIKE '$categorie' or cat like '%$categorie%' order by title") or die( 'Erreur '.$req.'
'.mysql_error() );} else {$req = mysql_query("select id, title, type, auteur, redact from manga where title regexp '($lettre)' order by title asc") or die( 'Erreur '.$req.'
'.mysql_error() );} Et ensuite l'affichage selon les criteres ici les 25 nouvelles entrees dans la table //on affiche les dernieres fiches faites si le visiteur n'a rien choisit if ($actu==0) { echo"Les 25 dernieres fiches Manga :

"; while ( $row = mysql_fetch_assoc( $req ) ){ //verification apostrophe dans titre$replace = array(" ", "'");$replace2 = array(" ", "'");$titreclean = str_replace ( $replace, $replace2, $title) ;echo "$row[title] - $row[type] - $row[auteur]
";} ;} Comme vous pouvez le voir j'essaie dans la boucle de proceder a la verification et au remplacement des apostrophes mais ca ne marche pas ca ne retourne rien du tout.

ElementW · Answer

'lut, arrrrrrrrgh le massacre...
Les fonctions mysql_* n'existent plus. Elles sont obsolètes dans PHP5.5 et supprimées dans PHP5.6, pour des raisons de sécurité et de design, qui avaient tendance a engendrer de très mauvais codes et de mauvaises pratiques. Surtout, l'injection SQL y était très propice si on ne faisait pas attention.

Par mauvaises pratiques, j'entends l'utilisation de mysql_real_escape_string qui finit par être confuse dans certains cas, ton utilisation de die() qui est juste une pratique atroce, etc...

Pour les injections SQL, c'est ton cas, donc potentiellement n'importe qui peut détruire ta base de donnée en visitant une de tes pages. Regarde ceci:
mysql_query("select * from manga where type LIKE '$categorie' or cat like '%$categorie%' order by title")
En soi la requête est bonne, mais tu insères $categorie dans la requête sans aucune vérification de format autre que son existence (isset($categorie)).

Faire des replace sur les résultats d'une requête ou avant de la faire n'est pas une solution. Si certains caractères t'embêtent, il y a de très fortes chances que plein d'autres te causent des ennuis du même genre, il faut donc résoudre ça, pas le cacher.

Pour cela, bien tu va devoir tout refaire... Nan je plaisante, mais prend le temps avant de continuer ton projet d'apprendre a te servir de PDO ou de mysqli (syntaxiquement plus proche de mysql_*), et particulièrement des requêtes préparées (tuto PDO, tuto mysqli), qui non seulement t'évitera des injections SQL mais t'évitera de vérifier/modifier l'entrée utilisateur dans tous les sens avant de faire ta requête.

Une fois ça fait, remplace-moi tout ce bazar de mysql_* obsolète.

Autrement, ton remplacement ne marche pas pour 2 raisons:
- tu ne te sers pas de str_replace comme il faut, je t'invite a relire sa page de doc (particulièrement l'utilisation des 2 premiers paramètres)
- ton titre avec les apostrophes supposément remplacés se nomme $titreclean, mais tu ne t'en sers pas dans ton echo.
from human import idiocy
del idiocy

Nichan · Answer

mon serveur est sous php 4 Et pour la variable titreclean la elle n'est pas placee parce que je sais pas comment la placer ou comme ca $row[title] ou comme ca $row[title]

Remplacer caracteres dans une boucle

2 réponses

Discussions similaires