Discussion :

[Invité]

Bonjour chers amis développeurs!
content d'être parmi vous comme toujours ... Bon j'ai un souci:

J'ai une table contenant les colonnes "nom", "mail" et "mot_de_passe_" et dans mon cript php, je souhaiterais afficher le nom se trouvant là où

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mail=$_POST['mail'] et mot_de_passe=$_POST['pass']

sachant que les variables $_POST reviennent d'un formulaire, mais je me bloque lorsqu'il faut faire la requette Sql suivante:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 SELECT nom WHERE  mail=$_POST['mail'] AND mot_de_passe=$_POST['pass']

il refuse de m'afficher le nom et dit que je dois retourner voir mon manuele car il y a une erreur de syntaxe! aidez moi svp ... merci par avance!

[transgohan]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$chaine_sql = "SELECT nom WHERE mail = '{$_POST['mail']}' AND mot_de_passe = '{$_POST['pass']}'";

Voici ce que cela donnerai.
Cependant il est à noter que c'est franchement plus que moche de faire ainsi.
Les variables ne sont pas vérifiées et on pourrait passer n'importe quoi.
Il faut faire des vérifications : type de champs attendu, échappement des caractères spéciaux, ...

[stealth35]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$chaine_sql = "SELECT nom WHERE mail = '{$_POST['mail']}' AND mot_de_passe = '{$_POST['pass']}'";

ton code n'est pas sécurise, utilise mysql_real_escape_string,

[transgohan]

Tu n'as semblerait-il pas eu le courage de lire tout mon message Stealth35.

[stealth35]

Tu n'as semblerait-il pas eu le courage de lire tout mon message Stealth35.

pourquoi ne pas l'avoir fait directement alors ?
ca fait un peu : "tien voici le code par contre c'est pas bon"

[bhamp0]

Il n'y a pas de clause "FROM", donc aucune de vos requêtes ne fonctionnera.

[transgohan]

pourquoi ne pas l'avoir fait directement alors ?
ca fait un peu : "tien voici le code par contre c'est pas bon"

Parce que l'auteur de ce sujet n'a pas précisé quel drivers il utilisait...
mysql_real_escape_string() alors qu'il pourrait utiliser PDO ?

Mais sinon je tire mon chapeau à bhamp0, il a trouvé l'erreur la plus élémentaire qui soit et qui devait en tout état de cause être la seule.

[Invité]

Chers amis, chers freres je vous remercie!

Le code marche parfaitement et j'en suis ravi... Au passage, sachez que je suis un passionné de la programmation et si je vous pause cette question "simple" c'est parce que là où je suis, on n'étude pas les langages du web (juste un peu le langage C) donc tous ce que je fais en PHP ou JAVA ou C++ ou VB.NET ou Sql ou Qt n'est que projet personnel...

Par ailleurs, je fonctionne comme ceci dans ma procedure:
1) j'ai fini le design de mon site
2) je bosse sur les BD pour évidemment transiter mes infos de page en page
3) lorsque tout est fini,je VERIFIE LA SECURITé liée au données réçues et bien d'autres! c'est pourquoi j'ai omis tout ce qui conserne la sécurité dans mon message précédent; En générl la sécurité c'est ma derniere étape...!

Est-ce une mauvaise méthode? un conseil serait le bienvenu...

Merci encore très chers!

[bhamp0]

La sécurité se prévoit en général, en amont du projet, au moment de la phase d'architecture.
Que ce soit un projet personnel ou professionnel d'ailleurs ...

[Invité]

Ok! ok dans ce cas je changerai de methode au moment venu... merci encore mais sinon je prefere souvent tout finir et après je refais un tour complet sur le programme pour le sécuriser au maximum... merci pour le conseil!