requête basique mysql ne fonctionne pas [Résolu]

[rvm31]

bonjour

surement un petit bug que je ne vois pas mais quand j'essaye la requête ci dessous l'erreur me renvoie qu'il ne trouve pas la colone avec le nom de variable. je lui demande de chercher sur la colone nom la variable contenue dans cette colonne et non l'inverse.
je ne sais pas si je suis très clair voici l'erreur affichée

Unknown column 'ddd' in 'where clause'

et le code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
<?php
include("../base.php");
$nomobj2=$_REQUEST[nomobjet];
$plusinfos=$_REQUEST[infos];
 
 
 $sql2= "SELECT * FROM  objet WHERE  nom LIKE $nomobj2";
 
$resultat = mysql_query($sql2) or die(mysql_error());
while ($objiste =mysql_fetch_array ($resultat)){
 
	$obj=$objiste['nom'];
	$inf=$objiste['infos'];
	$ha=$objiste['dateachat'];
	$lieu=$objiste['fournisseur'];
	$ouestce=$objiste['ou'];
	echo"affiche";
	echo"<br>" .$obj;
	echo" <br>" .$inf;
	echo"<br> achet&eacute; le " .$ha;
		echo" &aacute; " .$lieu;
			echo"<br> rang&eacute; " .$ouestce;
 
 
 
}
	?>

[julp]

Normal, il manque les quotes, ça n'en fait donc pas une chaîne de caractères mais un nom (colonne voir autres).

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$sql2= "SELECT * FROM  objet WHERE  nom LIKE '" . mysql_real_escape_string($_REQUEST['nomobjet']) . "'";

+ vous av(i)ez des injections.
+ vous pouvez, à moins que ce ne soit le but, limiter $_REQUEST à une méthode HTTP particulière (GET/POST)
+ les chaînes qui désignent des clés de tableau devraient être également quotées, sinon PHP va (d'abord) chercher une constante (ce qui devrait vous valoir une notice)
+ contrôler ces variables externes ? (isset déjà)

[rvm31]

merci