[SQL] problème de concaténation [Résolu]

[yvonh]

bonjour,
j"essais de récupérer une variable par la méthode GET car cette variable est passée par URL d'une autre page.
ensuite je veux executer une requête SQL avec cette variable dans l'expression de la requête.

$sql = 'DELETE FROM gestion_santep WHERE consultation = $_GET[id]';

où $id est passé par URL : /destination.php?id=4

malheureusement la variable $sql n'est pas equivalente a :

$sql = 'DELETE FROM gestion_santep WHERE consultation = 4'; (je le sais en faisant echo $sql).

quelle est la bonne syntaxe svp? Merci

yvon

[omarfla]

Citation:

Envoyé par yvonh

bonjour,

$sql = 'DELETE FROM gestion_santep WHERE consultation = $_GET[id]';

où $id est passé par URL : /destination.php?id=4

quelle est la bonne syntaxe svp? Merci

yvon

Essaye ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
$id = $_GET['id']; // N'oublie pas les simple quote ;) 
$sql = "DELETE FROM gestion_santep WHERE consultation = ".$id;

[bkill]

Je vois de plus en plus de posts, où chacun reprend ses variables $_GET (ou $_POST ou autre) et les réassigne dans des nouvelles variables... Je n'arrive pas trop à comprendre quelle est la stratégie là dedans, mais il doit certainement y en avoir une

Sinon, c'est tout à fait possible (et ca évite de redéfinir des variables supplémentaires, inutiles) comme suit:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$sql = 'DELETE FROM gestion_santep WHERE consultation = '.$_GET['id'];

[cyrill.gremaud]

salut ! le mieu est de faire comme cela :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
extract($_GET[]);
$sql = "DELETE FROM gestion_santep WHERE consultation ='".$id."'";

la commande extract() va créer une variable pour chaque $_get[] que tu as passé dans ton url, en l'ocurence pour toi id. ensuite dans ta requete il ne reste plus qu'a définir ton get comme cela : $id

bonne chance

[bkill]

wow, ca c'est un tout petit peu dangereux, le extract, si t'as par le plus grand des malheurs une variable locale qui porte le même nom qu'un de tes index de ton $_GET, adios!

Aussi, la syntaxe correcte est (si je ne m'abuse):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
extract($_GET);

[cyrill.gremaud]

Citation:

Envoyé par bkill

Je vois de plus en plus de posts, où chacun reprend ses variables $_GET (ou $_POST ou autre) et les réassigne dans des nouvelles variables... Je n'arrive pas trop à comprendre quelle est la stratégie là dedans, mais il doit certainement y en avoir une

Sinon, c'est tout à fait possible (et ca évite de redéfinir des variables supplémentaires, inutiles) comme suit:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

il est vrai que cette maniere est utile si l'on utilise une seul fois la variable passé dans l'url car la création de varibale supplémentaire contraint a une baisse de performance au niveau de ton code... mais pour un simple site on ne verra pas de différence mais c'est quand même important de le savoir pour le jour où tu devras faire un site important !

[cyrill.gremaud]

Citation:

Envoyé par bkill

wow, ca c'est un tout petit peu dangereux, le extract, si t'as par le plus grand des malheurs une variable locale qui porte le même nom qu'un de tes index de ton $_GET, adios!

hum interressant... je n'avais jamais pensé à cette option... peux-tu me donner un exemple concret s'il te plait ?

merci

[bkill]

Citation:

Envoyé par cyrill

il est vrai que cette maniere est utile si l'on utilise une seul fois la variable passé dans l'url car la création de varibale supplémentaire contraint a une baisse de performance au niveau de ton code... mais pour un simple site on ne verra pas de différence mais c'est quand même important de le savoir pour le jour où tu devras faire un site important !

Je pense aussi que ca permet de savoir, à n'importe quel endroit du code, d'où provient la variable que tu utilises. En te forçant à toujours utiliser $_GET['id'], tu sais que cette variable à été passée en paramètre à ta page. En utilisant $id, tu peux en avoir fait n'importe quoi auparavant.
Enfin bref, conventions de code, je dirais.

[bkill]

Citation:

Envoyé par cyrill

hum interressant... je n'avais jamais pensé à cette option... peux-tu me donner un exemple concret s'il te plait ?

merci

On peut gérer ces collisions, tout de même, avec des paramètres:

"extract() vérifie l'existence de la variable avant de la créer. Le traitement des collisions est déterminé par extract_type"

extract

Mais l'option par défaut est EXTR_OVERWRITE, donc écrase une variable auparavant prédéfinie.

Ex:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
$_GET['id'] = "123";
$id = "456";
extract($_GET);
echo $id; // 123

[cyrill.gremaud]

ok merci beaucoup de tes informations

[ska_root]

Salut,

presque rien à voir, mais je me dois de te prévenir :
attention aux injections SQL !!

ta variable $id sorti de l'URL directement insérée dans la requête, c'est la porte ouverte à ce genre d'attaque..

si tu vises un accés public à ce développement, prends soin de protéger les données avec la fonction mysql_real_escape_string()

bon développement

[cyrill.gremaud]

merci pour l'info !

[bkill]

Citation:

Envoyé par ska_root

presque rien à voir, mais je me dois de te prévenir :
attention aux injections SQL !!

Ca, c'est certain qu'il faut également s'occuper de ca.

Personnellement, j'aurais fait quelque chose du genre, idée comme une autre:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
if (is_numeric($_GET['id'])) {
  // traitement SQL
}

[yvonh]

merci pour le debat aue cela a sucite mais mon probleme se situe a un niveau infeieur en terme de technicite je pense.
quoique je fasse (extract(), entourage des simple quotes par des doubles quotes. ) j'obtiens le message suivant:

Notice: Undefined variable: id in c:\program files\easyphp1-8\www\gestion\gestiondelete.php on line 16

pour information je vous livre la config de mon serveur php en piece jointe:
y a il un pb de config? ca fait deux jours que je me casse les dents sur ce pb.grrrr

pour info ce lscript marche sur le serveur de free mais pas chez moi.

[Maxoo]

Citation:

Notice: Undefined variable: id

ca veut juste dire que id n'a pas été défini proprement.

remontre le code que tu utilises ?

P.S et sur free ca montre pas les notice, donc c'est normal, Notice, ce n'est pas une erreur !!

[yvonh]

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<HTML>
<HEAD>
<TITLE>Index</TITLE>
<META http-equiv="Content-Type" content="text/html; charset=utf-8">
</HEAD>
<?
include("connect.php");
?>

<H1>Confirm deletion</H1>

<? if (isset($_POST['confirm'])) {
$id = $_GET['id'];
$sql = "DELETE FROM gestion_santep WHERE consultation='".$id."'";


if($result=mysql_query($sql))
{echo "l'écriture a réussi";
require("gestionLinkBar.php");

} else {
echo "erreur d'écriture.";

}
}
else if (isset($_POST['cancel'])){

echo "Goodbye";
require("gestionLinkBar.php");

}
?>
<form method="POST" action="gestionDelete.php">
<input type="submit" name="confirm" value="Confirm">
<input type="submit" name="cancel" value="Cancel">

merci

[Maxoo]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
<? if (isset($_POST['confirm'])) {
$sql = "DELETE FROM gestion_santep WHERE consultation='".$_GET['id']."' ";

te complique pas la vie !!

et pense au balise code stp.

[yvonh]

j ai toujours le meme message...
il me dit toujours que la variable est indefinie..

[bkill]

ouais, mais, d'une part:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
<? if (isset($_POST['confirm'])) {

et d'autre part:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$sql = "DELETE FROM gestion_santep WHERE consultation='".$_GET['id']."' ";

T'es en GET ou en POST, pour finir ?
Faudrait peut-être utiliser tout le temps les variables GET, ou tout le temps les POST, pour récupérer les valeurs de ton formulaire posté.

[bkill]

Et as-tu un champs hidden dans ton formulaire qui s'appelle id ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
<input type="hidden" name="id" value="123" />

Si non, tu peux encore poster pendant longtemps