Discussion :

[binco]

Bonjour,
Je travaille un tuto.

Sur la page index.php on trouve un lien menant à la page lire_sujet en transmettant à la variable id_sujet_a_lire la valeur $donnee['id'] :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
echo '<a href="./lire_sujet.php?id_sujet_a_lire=' , $donnee['id'] , '">' , htmlspecialchars(trim($donnee['titre'])) , '</a>';

Sur la page lire_sujet.php on trouve une requête ou on récupère la variable id_sujet_a_lire avec la methode GET:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
$sql = 'SELECT auteur, message, date_reponse FROM forum_reponses WHERE correspondance_sujet="' . $_GET['id_sujet_a_lire'] . '" ORDER BY date_reponse ASC';
$requete1=$bdd->query($sql) or die(print_r($bdd->errorInfo()));

Problème: lorsque je clique sur le lien de la page index.php le message suivant apparait:
Array ( [0] => 42S22 [1] => 1054 [2] => Unknown column 'correspondance_sujet' in 'where clause' ) 1

J'ai beau chercher je ne trouve pas ... Pouvez vous m'aider?

Cordialement

[Lekno]

Fais un echo sur ta variable, $sql afin de voir la requete complète et mieux interpreter l'erreur

[Bisûnûrs]

Ben ça dit juste que la colonne correspondance_sujet n'existe pas dans ta table forum_reponses.

Et si j'étais toi, j'arrêterais tout de suite de suivre ce genre de tutoriel pourri ... Ils n'expliquent même pas comment se prémunir des injections SQL et laissent des failles béantes dans leurs tutos ... C'est à jeter à la poubelle et si tu l'utilises, tu vas très certainement subir des attaques.

[iakou]

Bonsoir.

Il me semble qu'il y ait un problème de 'quote' et "double quote" dans votre requête...

Passez par une variable intermédiaire pour éviter cette complication :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$CLEF = $_GET['id_sujet_a_lire'] ;
 
$sql = "SELECT * FROM forum_reponses WHERE correspondance_sujet='$CLEF' ORDER BY date_reponse ASC" ;

ou bien :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$sql = "SELECT * FROM forum_reponses WHERE correspondance_sujet=\"$CLEF\" ORDER BY date_reponse ASC" ;

P.S : SSI (si et seulement si) votre table forum_reponses est correctement construite. Cela va sans dire mais c'est mieux en le disant...

[binco]

Merci ca marche.

Bisûnûrs: en fait je cherche a refaire l'exercice en actualisant le code. Une fois que l'ossature sera faite je vais travailler la sécurité ... injection sql.

Cordialement

[iakou]

L'erreur a été corrigée dans le code qui avait été fourni au départ...
Mais il y en avait bien une !...