Discussion :

[Nours40]

Bonjour à tous

Je ne suis pas un expert alors si vous pouviez me répondre comme a un débutant cela m'arrangerai

je vais essayer de vous expliquer mon probleme, j'ai récupéré un petit logiciel et j'ai réussit a l'installer sur mon ftp, qui me permet de créer des fiches clients avec diverse information

je ne comprend pas tout mais j'ai globalement réussit a obtenir ce que je voulais avec mes faibles connaissance en php et une découverte a taton de sql

seul soucis je me rend compte une fois fini que lorsque je rentre une ' dans un des champs nom prénom etc cela me met une erreur sql (check the manual that corresponds to your MySQL server version for the right syntax to use near ' )

un exemple de la partie qui insère l'adresse dans la bdd

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<tr><td width= "190" align="right"><font color="#000000">
	<label for="adresse">Adresse :</label></td></font>
	<td><input id="adresse" name="adresse" type="text" size="25" value="" maxlength="255" ></td></tr>

alors je suppose que c'est un probleme tout con, j'ai cru comprendre qu'il y avait une grosse faille de sécurité si on laissé comme ça a cause des injections sql, mais cela ne me dérange pas vu que ca ne sera utilisé qu'en local pour un usage perso

voila si vous pouvez me donner une manip a faire pour que je puisse mettre des ' dans mes champs cela m'aiderai

Je vous souhaite de bonne fête a tous

Cordialement

[Bisûnûrs]

Corriger la faille de sécurité résoudrait également ton problème. Le problème n'est pas SQL mais applicatif, il faut regarder du côté de PHP comment corriger ta faille, en fonction de ce que tu utilises (PDO, MySQLi, LibMySQL, ...).

[Nours40]

merci pour la réponse

par contre désolé si j'abuse, j'ai fait une recherche avec mon erreur et php et je ne trouve pas de solution claire sur google donc soit j'ai un probleme particulier ce dont je doute soit je ne sais pas poser la question a google , si vous pouviez m'aiguiller un peu plus, je vous en serais reconnaissant

d’après ce que j'ai trouvé et compris mon probleme viendrais d'une ligne de commande qui dirais par exemple

input dans la bdd le texte dans le champ ('adresse') au lieux de (adresse) ce qui couperai ma requête si je met une ' et interprète la suite comme une autre commande qui forcement devient inconnu seul problème je ne trouve pas dans tout mes fichiers ou se situe cette erreur en tout cas pas dans la page qui génère mes fiches (celle ou se trouve le code que je vous ai copié)

donc je ne sais pas trop ou chercher

merci d'avance, cordialement

[Nours40]

Re bonjour

j'ai avancé un petit peu, je pense avoir isolé une partie du code responsable

j'ai trouvé dans un fichier fonction_creation_fiche.php ceci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
<?php
$suivi = $_POST['suivi'];
$etatnom = $_POST['etatnom'];
$sex = $_POST['sex'];
$nom = $_POST['nom'];
$prenom = $_POST['prenom'];
$date = $_POST['date'];
$telephone = $_POST['telephone'];
$tel_portable= $_POST['tel_portable'];
$panne_constatee = $_POST['panne_constatee'];
$travail_effectue = $_POST['travail_effectue'];
$main_doeuvre = $_POST['main_doeuvre'];
$total = $_POST['total'];
$remarque_service_technique = $_POST['remarque_service_technique'];
$mdp = $_POST['mdp'];
$type = $_POST['type'];
$marque = $_POST['marque'];
$modele = $_POST['modele'];
$serial_number = $_POST['serial_number'];
$technicien = $_POST['technicien'];
$adresse = $_POST['adresse'];
$cp = $_POST['cp'];
$ville = $_POST['ville'];
$elec = $_POST['elec'];
$system = $_POST['system'];
 
$query = "INSERT INTO fiche (id, sex, etatnom, suivi, nom, prenom, adresse, cp, ville, date, telephone, tel_portable, panne_constatee, travail_effectue, main_doeuvre, total, remarque_service_technique, mdp, type, marque, modele, serial_number, technicien, elec, system)
VALUES ('', '$sex', '$etatnom', '$suivi', '$nom', '$prenom', '$adresse', '$cp', '$ville', '$date', '$telephone', '$tel_portable', '$panne_constatee', '$travail_effectue', '$main_doeuvre', '$total', '$remarque_service_technique', '$mdp', '$type', '$marque', '$modele', '$serial_number', '$technicien', '$elec', '$system')";
 
$results = mysql_query($query) or die 
("Could not execute query : $query." . mysql_error());
 
if ($results)
{
echo "";
}

d'pares mes recherche sur internet j'ai essayer de copier honteusement pour arriver a ce résultat

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
<?php
 
$suivi = $_POST['suivi'];
$etatnom = $_POST['etatnom'];
$sex = $_POST['sex'];
$nom = $_POST['nom'];
$prenom = $_POST['prenom'];
$date = $_POST['date'];
$telephone = $_POST['telephone'];
$tel_portable= $_POST['tel_portable'];
$panne_constatee = $_POST['panne_constatee'];
$travail_effectue = $_POST['travail_effectue'];
$main_doeuvre = $_POST['main_doeuvre'];
$total = $_POST['total'];
$remarque_service_technique = $_POST['remarque_service_technique'];
$mdp = $_POST['mdp'];
$type = $_POST['type'];
$marque = $_POST['marque'];
$modele = $_POST['modele'];
$serial_number = $_POST['serial_number'];
$technicien = $_POST['technicien'];
$adresse = $_POST['adresse'];
$cp = $_POST['cp'];
$ville = $_POST['ville'];
$elec = $_POST['elec'];
$system = $_POST['system'];
 
$query=$db->prepare('INSERT INTO fiche (id, sex, etatnom, suivi, nom, prenom, adresse, cp, ville, date, telephone, tel_portable, panne_constatee, travail_effectue, main_doeuvre, total, remarque_service_technique, mdp, type, marque, modele, serial_number, technicien, elec, system);
            $query->bindValue(':sex', $sex, PDO::PARAM_STR);
            $query->bindValue(':etatnom', $etatnom, PDO::PARAM_STR);
			$query->bindValue(':suivi', $suivi, PDO::PARAM_STR);
			$query->bindValue(':nom', $nom, PDO::PARAM_STR);
            $query->bindValue(':prenom', $prenom, PDO::PARAM_STR);
			$query->bindValue(':adresse', $adresse, PDO::PARAM_STR);
            $query->bindValue(':cp', $cp, PDO::PARAM_STR);
			$query->bindValue(':ville', $ville, PDO::PARAM_STR);
            $query->bindValue(':date', $date, PDO::PARAM_STR);
			$query->bindValue(':telephone', $telephone, PDO::PARAM_STR);
            $query->bindValue(':tel_portable', $tel_portable, PDO::PARAM_STR);
			$query->bindValue(':panne_constatee', $panne_constatee, PDO::PARAM_STR);
            $query->bindValue(':travail_effectue', $travail_effectue, PDO::PARAM_STR);
			$query->bindValue(':main_doeuvre', $main_doeuvre, PDO::PARAM_STR);
            $query->bindValue(':total', $total, PDO::PARAM_STR);
			$query->bindValue(':remarque_service_technique', $remarque_service_technique, PDO::PARAM_STR);
            $query->bindValue(':mdp', $mdp, PDO::PARAM_STR);
			$query->bindValue(':type', $type, PDO::PARAM_STR);
			$query->bindValue(':marque', $marque, PDO::PARAM_STR);
			$query->bindValue(':modele', $modele, PDO::PARAM_STR);
			$query->bindValue(':serial_number', $serial_number, PDO::PARAM_STR);
			$query->bindValue(':technicien', $technicien, PDO::PARAM_STR);
			$query->bindValue(':elec', $elec, PDO::PARAM_STR);
			$query->bindValue(':system', $system, PDO::PARAM_STR);
            $query->execute();

$results = mysql_query($query) or die 
("Could not execute query : $query." . mysql_error());

if ($results)
{
echo "";
}

mais ca ne fonctionne pas et je me retrouve avec cette erreur "Parse error: syntax error, unexpected ':' in /.../.../.../.../fonction_creation_fiche.php on line 60"

comme si les : lui plaisait pas du coup je sais plus trop quoi essayer

si vous avez des pistes une solution ou bien une corde et un tabouret je suis preneur , merci d’avance a ceux qui me lirons

Cordialement

[pier.antoine]

Bonjour

Le problème se situant plus au niveau de PHP que de MYSQL, il serait plus opportun de le poser dans le forum "PHP".

Pierre

[Nours40]

le sujet a était déplacé par un modérateur je crois :p mon titre doit induire en erreur

[bhamp0]

Ca a l'air d'être un "vieux" logiciel, donc il est possible/probable qu'on ne puisse pas conseiller mysqli / PDO.
Donc : mysql_real_escape_string

[Bisûnûrs]

Comme tu peux le voir dans ton deuxième code, il manque un ' à la fin de ta ligne INSERT. On voit bien que la coloration syntaxique se fait la malle.
Rassure-moi, tu codes pas avec le bloc note Windows ?

[Nours40]

bonjour merci pour les réponses

j'avais vu que ma coloration fouté le camp mais je ne savais pas ou était le problème j'ai remit rajouté ') avant ;

ma coloration revient a la normale mais j'ai une autre erreur du coup

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Fatal error: Call to a member function prepare() on a non-object in /.../..../..../..../fonction_creation_fiche.php on line 59

qui correspond a ma première ligne d'insertion dans la bdd si je dit pas de connerie

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
ligne 59>   $query=$db->prepare('INSERT INTO fiche (id, sex, etatnom, suivi, nom, prenom, adresse, cp, ville, date, telephone, tel_portable, panne_constatee, travail_effectue, main_doeuvre, total, remarque_service_technique, mdp, type, marque, modele, serial_number, technicien, elec, system)');
            $query->bindValue(':sex', $sex, PDO::PARAM_STR);
            $query->bindValue(':etatnom', $etatnom, PDO::PARAM_STR);
			$query->bindValue(':suivi', $suivi, PDO::PARAM_STR);
			$query->bindValue(':nom', $nom, PDO::PARAM_STR);
            $query->bindValue(':prenom', $prenom, PDO::PARAM_STR);
			$query->bindValue(':adresse', $adresse, PDO::PARAM_STR);
            $query->bindValue(':cp', $cp, PDO::PARAM_STR);
			$query->bindValue(':ville', $ville, PDO::PARAM_STR);
            $query->bindValue(':date', $date, PDO::PARAM_STR);
			$query->bindValue(':telephone', $telephone, PDO::PARAM_STR);
            $query->bindValue(':tel_portable', $tel_portable, PDO::PARAM_STR);
			$query->bindValue(':panne_constatee', $panne_constatee, PDO::PARAM_STR);
            $query->bindValue(':travail_effectue', $travail_effectue, PDO::PARAM_STR);
			$query->bindValue(':main_doeuvre', $main_doeuvre, PDO::PARAM_STR);
            $query->bindValue(':total', $total, PDO::PARAM_STR);
			$query->bindValue(':remarque_service_technique', $remarque_service_technique, PDO::PARAM_STR);
            $query->bindValue(':mdp', $mdp, PDO::PARAM_STR);
			$query->bindValue(':type', $type, PDO::PARAM_STR);
			$query->bindValue(':marque', $marque, PDO::PARAM_STR);
			$query->bindValue(':modele', $modele, PDO::PARAM_STR);
			$query->bindValue(':serial_number', $serial_number, PDO::PARAM_STR);
			$query->bindValue(':technicien', $technicien, PDO::PARAM_STR);
			$query->bindValue(':elec', $elec, PDO::PARAM_STR);
			$query->bindValue(':system', $system, PDO::PARAM_STR);
            $query->execute();
 
$results = mysql_query($query) or die 
("Could not execute query : $query." . mysql_error());
 
if ($results)
{
echo "";
}

Voila pour bisunurs

@bhamp0 oui c'est un vieux logiciels de mais il fait très bien l'affaire pour moi et je suis pour le moment incapable de développer mon propre logiciel (la partie sql me faisant grandement default comme tu as pu le voir ) je me pencherai sur ta solution si jamais je ne peut pas le faire avec les nouvelle norme de codage (je ne sais pas si ca se dit)ca rpour le moment je voit a peut pret ce que fait le real escape mais aucune idée de comment l'insérer dans mon code :p merci beaucoup d'avoir répondu en tout cas


Cordialement

[Bisûnûrs]

Et ta variable $db elle sort d'où ?

[Nours40]

heu de la solution donné sur l'autre site que j'ai linké au début elle n'as peut être pas lieu d’être la mais ca j'en sais rien

[Bisûnûrs]

Mais là elle n'est pas définie ta variable du coup.

[Nours40]

heu j'ai déjà dis que j'y connaissais rien en sql et php

est ce qu'il faut que je la définisse? si oui comment ? à quoi elle sert :p

je suis désolé j'y connais vraiment rien

ne serait ce pas plus simple de juste modifier le code de départ pour le truc bhamp0 vu mes compétences


Cordialement

[bhamp0]

Attention : on utilise une méthode PHP qui est désormais dépréciée, donc je ne la conseille que dans ce cas particulier où on travaille avec un vieux logiciel (donc on essaie d'y toucher le moins possible) et où la sécurité n'est pas la priorité.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
<?php
$suivi = mysql_real_escape_string($_POST['suivi']);
$etatnom = mysql_real_escape_string($_POST['etatnom']);
$sex = mysql_real_escape_string($_POST['sex']);
$nom = mysql_real_escape_string($_POST['nom']);
$prenom = mysql_real_escape_string($_POST['prenom']);
$date = mysql_real_escape_string($_POST['date']);
$telephone = mysql_real_escape_string($_POST['telephone']);
$tel_portable= mysql_real_escape_string($_POST['tel_portable']);
$panne_constatee = mysql_real_escape_string($_POST['panne_constatee']);
$travail_effectue = mysql_real_escape_string($_POST['travail_effectue']);
$main_doeuvre = mysql_real_escape_string($_POST['main_doeuvre']);
$total = mysql_real_escape_string($_POST['total']);
$remarque_service_technique = mysql_real_escape_string($_POST['remarque_service_technique']);
$mdp = mysql_real_escape_string($_POST['mdp']);
$type = mysql_real_escape_string($_POST['type']);
$marque = mysql_real_escape_string($_POST['marque']);
$modele = mysql_real_escape_string($_POST['modele']);
$serial_number = mysql_real_escape_string($_POST['serial_number']);
$technicien = mysql_real_escape_string($_POST['technicien']);
$adresse = mysql_real_escape_string($_POST['adresse']);
$cp = mysql_real_escape_string($_POST['cp']);
$ville = mysql_real_escape_string($_POST['ville']);
$elec = mysql_real_escape_string($_POST['elec']);
$system = mysql_real_escape_string($_POST['system']);
 
$query = "INSERT INTO fiche (id, sex, etatnom, suivi, nom, prenom, adresse, cp, ville, date, telephone, tel_portable, panne_constatee, travail_effectue, main_doeuvre, total, remarque_service_technique, mdp, type, marque, modele, serial_number, technicien, elec, system)
VALUES ('', '$sex', '$etatnom', '$suivi', '$nom', '$prenom', '$adresse', '$cp', '$ville', '$date', '$telephone', '$tel_portable', '$panne_constatee', '$travail_effectue', '$main_doeuvre', '$total', '$remarque_service_technique', '$mdp', '$type', '$marque', '$modele', '$serial_number', '$technicien', '$elec', '$system')";
 
$results = mysql_query($query) or die 
("Could not execute query : $query." . mysql_error());
 
if ($results)
{
echo "";
}

[Nours40]

ho la vache merci en plus tu m'as fait tout le boulot

je vient de test en direct ça fonctionne je t'en suis très reconnaissant

et merci a bisunurs qui as du s’arracher les cheveux en me lisant

ps: vous ne savez pas ou je pourrais trouver un petit développeur capable de faire se genre de logiciel, pour une petite entreprise donc pas trop cher :p

Merci encore a tous

Cordialement