Discussion :

[rvm31]

Bonjour
je veux récupérer mes entrées de table avec un where d'une variable.
dès que j'ai des ' ou des " dans ma chaine le where ne trouve rien.
J'ai essayé un htmlentities mais ça ne fonctionne pas.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 
$prod=$_POST[prod];
if($prod=='autrep'){
    $prod=$_POST['newprod'];
    $prod2='autrep';
}
$prod=  addslashes($prod);
$prodpouralerte=  htmlentities($prod,ENT_QUOTES,'ISO-8859-1');
 
// recupertaion de l'id de prod 
$mysqlprod="SELECT idprod FROM `list_prod`WHERE  `prod` ='$prodpouralerte'";
$resultat=mysql_query($mysqlprod)or die (mysql_error()) ;
while ($listeprod = mysql_fetch_assoc($resultat)){
    $idprod=$listeprod['idprod'];
}

[RunCodePhp]

Salut

Il ne faut pas utiliser addslashes() ni htmlentities(), mais utiliser la fonction d'échappement dédiée aux données dans une Bdd : mysql_real_escape_string().

Essai déjà avec ça.

A coté de ça, il faut voir comment ont été insérer (enregistrés) tes données.
Pour le savoir il suffit de le vérifier avec PhpMyAdmin (ou autre client MySQL).

Si par exemple une donné contenant des simples ou doubles quote (' ou/et ") contient des antislaches genre : l\'affaire, alors ça ne va pas.
Du coup il faut réparer ça sinon ta requête SELECT que tu fais actuellement causera problème, voir pire, devoir enfoncer le clou un peu plus dans l'erreur en exploitant je ne sais quel combine pour que ça fonctionne.

De même qu'il faudrait vérifier comment est obtenue une donnée en POST, s'il y a aussi des antislash ou pas.

Mais encore, vérifier la valeur de magic_quotes_gpc du coté du php.ini.
Il est très fortement recommandé quelle soit désactivée (valeur à Off).


Petite parenthèse au passage : les fonctions mysql_truc_muche() sont obsolètes, et un des 4 matins elles ne feront plus partie du core de Php.
Php offre 2 autres moyen (librairie) pour manipuler une Bdd Mysql : mysqli (ou MYSQLi Objet) et PDO.
-> la doc : MySQL


Fais le point sur tout cela

[rvm31]

Mon problème venait du formulaire qui envoyait les données.
Les données venaient d'un select remplit par la base.
A chaque fois qu'il y avait un double quote celui n'était pas transmis.
j'ai donc rajouté un html entities dans le value de l'option select.
et c'est rentré dans l'ordre.

AVANT

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 echo '<option value="'.$listeprod['prod'].'"'.$selected.'">'.$listeprod['prod'].'</option>';

APRES

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 echo '<option value="'.htmlentities($listeprod['prod']).'"'.$selected.'">'.$listeprod['prod'].'</option>';

merci RunCodePHP c'est en affichant le POSt que j'ai trouvé le souci.