PHP/MYSQL - Erreur de syntaxe près de '')' à la ligne 2 [Résolu]

Bobio569 · 05/05/2011, 09h06

Bonjour à tous et à toutes en vous souhaitant une merveilleuse journée,

Je suis au courant que cette question a été posée mainte fois, mais aucune des réponses que j'ai trouvé ne m'a donnée satisfaction jusqu'à présent.

Mon problème réside dans l'envoi de requête à la BD à l'aide de la fonction INSERT INTO. Voici par exemple le code de ma requête sur la page Livre d'or :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
	          <?php  
			  if(isset($_POST["submit"])){
  $link = mysql_connect( "localhost", "root", "" ) ;
   $db  = mysql_select_db( "mabase" ) ;
 
 
  $nom = $_POST["nom"] ;
  $email = $_POST["email"] ;
  $commentaire = $_POST["comment"] ;
 
 
   $sql = "INSERT INTO `livreor` (Nom_com,Email_com,Commentaire)
            VALUES ('$nom','$email','$commentaire')"; 
 
  $requete = mysql_query($sql, $link) or die( mysql_error() ) ;
  if($requete)
  {
    echo("<script language='JavaScript'>
alert('Merci pour votre commentaire !');
</script>") ;
  }
  else
  {
    echo("<script language='JavaScript'>
alert('Désolé, votre commentaire n'a pas pu être envoyé.');
</script>") ;
  }
}
?>

Les enregistrements s'insèrent normalement dans la base de données, mais mon problème est le suivant :

Dés qu'un champ rempli continent le caractère ' j'obtiens cette erreur : Erreur de syntaxe près de '...')' à la ligne 2

Par exemple si je venais de taper dans mon commentaire le message suivant: J aime le PHP, le message est parfaitement envoyé.

Mais si je venais à écrire, par exemple, le message suivant : J'aime le PHP, j'obtient l'erreur suivante : Erreur de syntaxe près de 'aime le PHP')' à la ligne 2

Merci.

sabotage · 05/05/2011, 09h10

On ne place pas directement des données utilisateur dans une requête :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 $commentaire = mysql_real_escape_string($_POST["comment"]);

doudouallemand · 05/05/2011, 14h31

Citation:

Envoyé par sabotage

On ne place pas directement des données utilisateur dans une requête :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 $commentaire = mysql_real_escape_string($_POST["comment"]);

Je te conseille de le faire aussi sur le nom, y'a des gens qui ont des apostrophes dedans...

sabotage · 05/05/2011, 15h09

Ma ligne était un exemple, il faut évidemment sécuriser toutes les données.

doudouallemand · 05/05/2011, 16h16

Citation:

Envoyé par sabotage

Ma ligne était un exemple, il faut évidemment sécuriser toutes les données.

ok, dsl, mais vu qu'il arrive sur le forum, s'il est débutant, j'ai préféré le préciser quand même

Bobio569 · 05/05/2011, 19h22

Un grand merci à vous deux, ça marche parfaitement maintenant

Encore un très grand merci

05/05/2011, 09h10	#2
sabotage Modérateur Vincent Inscription : juillet 2005 Messages : 14 929 Détails du profil Informations personnelles : Nom : Vincent Informations forums : Inscription : juillet 2005 Messages : 14 929 Points : 16 381 Points : 16 381	On ne place pas directement des données utilisateur dans une requête : Code : Sélectionner tout - Visualiser dans une fenêtre à part $commentaire = mysql_real_escape_string($_POST["comment"]);
	30

05/05/2011, 19h22	#6
Bobio569 Invité de passage Inscription : mai 2011 Messages : 2 Détails du profil Informations personnelles : Sexe : Localisation : Algérie Informations forums : Inscription : mai 2011 Messages : 2 Points : 2 Points : 2	Un grand merci à vous deux, ça marche parfaitement maintenant Encore un très grand merci
	00

05/05/2011, 15h09	#4
sabotage Modérateur Vincent Inscription : juillet 2005 Messages : 14 929 Détails du profil Informations personnelles : Nom : Vincent Informations forums : Inscription : juillet 2005 Messages : 14 929 Points : 16 381 Points : 16 381	Ma ligne était un exemple, il faut évidemment sécuriser toutes les données.
	20

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email