Discussion :

[Benyou]

Bonjour,

Je suis entrain de créer un site web, dans lequel l'utilisateur doit rentrer quelques chiffres (un code) pour pouvoir visualiser certaines info.

Ces info sont dans ma base de données.
La condition pour que l'utilisateur puisse visualiser ces info c'est qu'il doit saisir un code déjà existant sur la base de données.
Donc je récupère d'abord le code saisi par l'utilisateur et apres je me connecte à ma base et je crée une requête qui COMPARE LE CODE SAISI AVEC LE CODE EXISTANT DANS LA BASE DE DONNÉES, s'il ils se ressemblent j'affiche les info à l'utilisateur

Voilà Mon code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
<body>
    <p>Bonjour !Votre code est : </p>
    <?php 
        echo $_POST['codebarre'];
        echo '<div align = "center"';
 
        // je me connecte à MySQL 
        $db = mysql_connect('localhost', 'root', ''); 
 
        // je sélectionne la base 
        mysql_select_db('pressing',$db); 
 
        // je crée la requête SQL
        $sql = "SELECT * FROM articles WHERE Code = codebarre ";  
        //codebarre :  le code saisi par l'utilisateur.
 
        // envoi de la requête SQL
        $req = mysql_query($sql) or die('Erreur SQL !<br>'.$sql.'<br>'.mysql_error()); 
        while($data = mysql_fetch_assoc($req)){
            echo'<p>ID : '.$data['ID'].'</p>';
            echo'<p>Description : '.$data['Description'].'</p>';
            echo'<p>Code barre : '.$data['Code'].'</p>';
            echo'<p>Reference commande : '.$data['Ref Commande'].'</p>';
        }
        echo '</div>';	
	mysql_close(); 
        ?>
</body>

Le problème est dans le variable "codebarre", je crois qu'elle n'est pas reconnu dans la base de données.

Merci D'avance

[Zwiter]

Bonjour,
Vous avez omis la variable POST dans votre requete.
Bien que ceci ne soit pas sécuritaire, voici la solution la plus simple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$sql = "SELECT * FROM articles WHERE Code = $_POST['codebarre']";

Z.

[Benyou]

j'ai dejà essayé avec cette solution ma ca ne marche pas aussi
voilà l'erreur qu'il m'affiche

Parse error: syntax error, unexpected T_ENCAPSED_AND_WHITESPACE, expecting T_STRING or T_VARIABLE or T_NUM_STRING in C:\wamp\www\site_web\php\info_client.php on line 24

[ABCIWEB]

En même temps il en manque pas beaucoup pour que cela soit nettement plus sécurisé :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$sql = "SELECT * FROM articles WHERE Code = '".mysql_real_escape_string($_POST['codebarre'])."'";

[Benyou]

oui ca marche , merci

j'ai une derniere question sur la signification de " mysql_real_escape_string " pour que je puisse le réutiliser une autre fois,

Merci pour l'aide

[ABCIWEB]

Si tu rentre "mysql_real_escape_string" dans google cela te renvoie directement ici

Il est dit qu'il faut utiliser cette fonction pour protéger les variables dans les requêtes et tu devrais le faire systématiquement pour toutes tes requêtes.

Tu verras aussi au passage qu'il est déconseille d'utiliser l'extension mysql pour les nouveaux projets. Il vaudrait mieux utiliser mysqli ou pdo à la place.

[Benyou]

Ok ça marche, merci pour l'aide