[SQL] SQL syntax error dans fonction insert into

[scarfesse]

Bonjour,

Je suis bloqué depuis une semaine sur une supposée erreur de syntaxe dans une fonction insert into...
Moi je vois pas d'erreur avec mes yeux de débutants, mais peut être que quelqu'un voit une erreur...

Voila le code correspondant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
$query_insert = sprintf("INSERT INTO shop_line_order (order, article, price_ht, price_ttc, quantity, total_ht, total_ttc) VALUES (%s, %s, %s, %s, %s, %s, %s)",
GetSQLValueString($row_order['id'], "int"),
GetSQLValueString($row_basket['article'], "int"),
GetSQLValueString($row_basket['price_ht'], "double"),
GetSQLValueString($row_basket['price_ttc'], "double"),
GetSQLValueString($row_basket['Quantity'], "int"),
GetSQLValueString($row_basket['total_ht'], "double"),
GetSQLValueString($row_basket['total_ttc'], "double"));
mysql_select_db($database_shop, $shop);
$Result1 = mysql_query($query_insert, $shop) or die(mysql_error());

J'ai testé chacune des variables, la fonction getSQLvlauestring fait bien son boulot!!
Donc je ne sais pas d'où ça vient.
S'il vous plait de l'aide parce que j'en peut plus de piétiner là!

Merci

[benbax]

Essaie en mettant ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
$query_insert = sprintf("INSERT INTO shop_line_order (order, article, price_ht, price_ttc, quantity, total_ht, total_ttc) VALUES (%s, %s, %s, %s, %s, %s, %s)",
GetSQLValueString($row_order['id'], "int"),
GetSQLValueString($row_basket['article'], "int"),
GetSQLValueString($row_basket['price_ht'], "double"),
GetSQLValueString($row_basket['price_ttc'], "double"),
GetSQLValueString($row_basket['Quantity'], "int"),
GetSQLValueString($row_basket['total_ht'], "double"),
GetSQLValueString($row_basket['total_ttc'], "double"));
mysql_select_db($database_shop, $shop);
$Result1 = mysql_query($query_insert) or die(mysql_error());

[ThomasR]

Pourquoi ne pas faire ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$query_insert = sprintf("INSERT INTO shop_line_order (order, article, price_ht, price_ttc, quantity, total_ht, total_ttc) VALUES (%s, '".$row_basket['article']."','".$row_basket['price_ht']."' etc etc");
 
mysql_select_db($database_shop, $shop);
$Result1 = mysql_query($query_insert) or die(mysql_error());

[julp]

order est un mot-clé réservé : il est certainement nécessaire de le backticker (ie écrire `order`) - à moins de le renommer. En tout cas, le message d'erreur précis et exact nous aiderait certainement plus !

@ThomasR : non il ne faut pas injecter directement les valeurs dans les requêtes, il faut les protéger.