Discussion :

[geeka]

Bonjour,
Je n'arrive pas à modifier mon formulaire.
J'ai deux pages :
Page 1 : modification_suppression_structure.php : permet de rechercher un nom afin de le modifier
Page 2 : lecture_structure.php : permet d'afficher les champs après la recherche
Voici le code de la page 1 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
<?php
if (isset($_POST['modifier'])){
	echo"holla";
	$thematique=addslashes($_POST['thematique']);
	$nv_nom_contact=addslashes($_POST['nv_nom_contact']); 
	$desc_contact=addslashes($_POST['desc_contact']);
	$nom_struct=addslashes($_POST['nom_struct']);
	$nom_service=addslashes($_POST['nom_service']);
	$adres_struct=addslashes($_POST['adres_struct']);
	$pays=$_POST['country'];
	$code_postal=$_POST['postalcode'];
	$ville=addslashes($_POST['place']);
	$tel_struct=$_POST['tel_struct'];
	$fax_struct=$_POST['fax_struct'];
	$page_web=addslashes($_POST['page_web']);
	$mail_struct=$_POST['mail_struct'];
	$date_ajout = date('Y-m-d H:i:s'); //filemtime('modification_structure.php'); 
	$filename='modification_suppression_structure.php';
	$date_maj = date("Y-m-d H:i:s", filemtime($filename)); 
	$nom_contact=$_POST['nom_contact']; //contact à rechercher
$reponse = $bdd->query("SELECT * FROM structure WHERE nom_contact='$nom_contact'");
$donnees = $reponse->fetch(PDO::FETCH_ASSOC);	
$id= $donnees['id_struct'];	
  PRINT_r($donnees).'<br />';
$bdd->exec("UPDATE structure SET nom_contact='$nv_nom_contact', desc_contact='$desc_contact',nom_struct='$nom_struct',nom_service='$nom_service',adres_struct='$adres_struct',code_postal='$code_postal',ville='$ville',pays='$pays',tel_struct='$tel_struct',fax_struct='$fax_struct',mail_struct='$mail_struct',page_web='$page_web' WHERE id_struct= '$id'");			
 
}

En fait, j'ai besoin de print_r($_POST) et de print-r($_donnees) pour afficher toutes les informations. Ceci parce que dans ma page 2, j'ai le code d'affichage des champs ( $donnee['champ'] ).

Merci

[sabotage]

Commence déjà par retirer tous tes addslashes() et à remplacer par des requêtes préparées PDO : tes requêtes actuelles sont des trous béants.
Ensuite fonctionnellement ça serait bien de vérifier si le nom recherché correspond à quelque chose et à quoi il correspond avant de lancer une mise à jour sur le premier élément trouvé.

[geeka]

Merci pour votre réponse.

Commence déjà par retirer tous tes addslashes() et à remplacer par des requêtes préparées PDO : tes requêtes actuelles sont des trous béants.

Je n'ai pas trouvé d'autre solution pour faire accepter le / dans ma BDD. Je ne savais pas que "prepare" pouvait faire ça ?

Ensuite fonctionnellement ça serait bien de vérifier si le nom recherché correspond à quelque chose et à quoi il correspond avant de lancer une mise à jour sur le premier élément trouvé.

En effet, je devrais vérifier si certaines données existent déjà sous le même nom. Pour le moment, j'essaie juste de faire fonctionner la modification.
Merci pour vos conseils

[Dendrite]

http://php.net/manual/fr/pdo.prepare.php

C'est surtout la remarque 22 qui est très claire

Note on the SQL injection properties of prepared statements.

Prepared statements only project you from SQL injection IF you use the bindParam or bindValue option.

For example if you have a table called users with two fields, username and email and someone updates their username you might run

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

UPDATE `users` SET `user`='$var'

where $var would be the user submitted text.

Now if you did

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<?php
$a=new PDO("mysql:host=localhost;dbname=database;","root","");
$b=$a->prepare("UPDATE `users` SET user='$var'");
$b->execute();
?>

and the user had entered User', email='test for a test the injection would occur and the email would be updated to test as well as the user being updated to User.

Using bindParam as follows

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<?php
$var="User', email='test";
$a=new PDO("mysql:host=localhost;dbname=database;","root","");
$b=$a->prepare("UPDATE `users` SET user=:var");
$b->bindParam(":var",$var);
$b->execute();
?>

The sql would be escaped and update the username to User', email='test'

[Celira]

En complément de la remarque citée par Dendrite, tu peux aussi les paramètres de la requête directement à la fonction execute :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$var="User', email='test";
$a=new PDO("mysql:host=localhost;dbname=database;","root","");
$b=$a->prepare("UPDATE `users` SET user=:var");
$b->execute(array(':var' => $var));

ce qui est plus simple à appréhender pour un débutant en PDO

[geeka]

Merci pour vos remarques!
Il y a deux lignes que je ne comprends pas en fait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
$b=$a->prepare("UPDATE `users` SET user=:var"); //D'habitude je fais user='$var'
$b->execute(array(':var' => $var));

A quoi correspondent les deux points ? Et quelle est la différence entre := et <- ?

[sabotage]

Et quelle est la différence entre := et <-

Le point commun en tout cas c'est qu'aucun des deux n'existent en PHP.

:xxxxxx est une paramètre nommé PDO.
http://php.net/manual/fr/pdo.prepare.php

[geeka]

@Sabotage
Merci pour les explications. J'ai tout inversé, je voulais plutôt écrire =: et ->

[sabotage]

Ce n'est pas un symbole =: c'est un symbole égal suivi de :parametre.
-> c'est le symbole pour les propriétés les méthodes de classe : $class->methode() et $class->propriete

[geeka]

Ah d'accord, merci bcp pour les explications.