Les insert into $_POST

**Byron_1** · 28/06/2013, 09h40

Bonjours à toutes et à tous !

Voilà, je bug un peu sur un problème que je ne comprend pas..... Le code que je vais vous présenter fait totalement bug ma page.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
$queryInsert = "INSERT INTO Admin
	VALUES (
	'$_POST['Name']',
	'$_POST['Matricule']',
	'$_POST['Pw_1']'
	)";
$resuInsert = mysqli_query($co,$queryInsert) or die (mysqli_error($co) ."queryInsert");

Je pense que c'est un problème de '' ou autre, sauf que je ne sais jamais comment les placer... D'ailleurs si il y à un moyen de s'en rappeler, je suis preneur.

Merci de votre aide

Invité · 28/06/2013, 09h53

Essaie comme ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
$queryInsert = "INSERT INTO Admin
	VALUES (
	".$_POST['Name'].",
	".$_POST['Matricule'].",
	".$_POST['Pw_1']."
	)";
$resuInsert = mysqli_query($co,$queryInsert) or die (mysqli_error($co) ."queryInsert");

**rawsrc** · 28/06/2013, 09h55

Salut,

tu dois échapper tes valeurs avant de les insérer en base avec mysqli_real_escape_string() et encadrer les valeurs texte de guillemets

**Byron_1** · 28/06/2013, 10h23

#Ecatomb : Voilà l'erreur que j'ai en utilisant ton code

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ' 32165498, aaa )' at line 3

queryInsert (321654987 est la matricule et aaa le PW).

#rawsrc : Je vais étudier ta fonction

**neka11** · 28/06/2013, 10h43

fait un var_dump($queryInsert) et poste la requête qui s'affiche, ca nous aidera à voir les problèmes que tu rencontres.

**Byron_1** · 28/06/2013, 10h52

INSERT INTO Admin VALUES ( ze, 32165498, aaa )
Unknown column 'ze' in 'field list' queryInsert

Je suis très fatigué, du coup mon cerveau a du mal ><
Je ne comprend pas pourquoi il marque ca. Normalement dans Nom je suis censé mettre Nom 'ze', matricule '32165498' et mdp mettre 'aaa'. La il me dit, si je compred bien, qu'il cherche le nom de colonne 'ZE' au lieu de me le mettre dedans.

**rawsrc** · 28/06/2013, 11h00

Comme ça

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
$queryInsert = 'INSERT INTO Admin VALUES ('
               .'"'.mysqli_real_escape_string($co, $_POST['Name']).'", '
               .'"'.mysqli_real_escape_string($co, $_POST['Matricule']).'", '
               .'"'.mysqli_real_escape_string($co, $_POST['Pw_1']).'")';
$resuInsert = mysqli_query($co, $queryInsert) or die (mysqli_error($co) ."queryInsert");

**Byron_1** · 28/06/2013, 11h07

Ce que tu me donne rawsrc insert des champs vides dans ma table. La requete vaut ca : INSERT INTO Admin VALUES ("", "","")

Ps : Mon cerveau est vraiment OFF la, du coup j'applique betement sans réflechir. J'aime pas ca, mais bon... Faut que j'avance

**neka11** · 28/06/2013, 11h10

Il manque les quotes quand tu insères un string.

Une meilleur habitude c'est d'écrire ta requête en mettant le nom des colonnes :

Code sql :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
INSERT INTO "nom de table" ("colonne 1", "colonne 2", ...)
VALUES ("valeur 1", "valeur 2", ...)

**rawsrc** · 28/06/2013, 11h15

Si c'est vide c'est le tableau $_POST ne contient pas les valeurs que tu penses qu'il contient, c'est tout.

Lis la doc de mysqli et reproduit les exemples à l'identique.

PS: si tu comptes avancer sans mettre en route ton cerveau, je te souhaite bonne chance...

**Byron_1** · 28/06/2013, 11h22

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
echo "<br />". $_POST['Nom']." ".$_POST['Matricule']." ".$_POST['Pw_1'];
// ze 32165498 aaa

Mes post contiennent bien ce que je pense.
Je n'ai jamais eu besoin de escape string lors de mes anciennes requete de ce genre.

En temps normal c'est pas dessus que je lutte ^^

**neka11** · 28/06/2013, 11h32

En mettant des quotes autour des strings que tu insères et en mettant le nom des colonnes quand tu fais ton insert ca donne quoi ?

**rawsrc** · 28/06/2013, 11h33

Envoyé par Byron_1

Je n'ai jamais eu besoin de escape string lors de mes anciennes requete de ce genre.

Euh, tu es en train de dire que tu n'échappes jamais tes données avant de les sauvegarder en base ??? Si c'est ça : ouch !!!!

Essaies avec ça et poste le retour :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
ini_set('display_errors', true);
ini_set('display_startup_errors', true);
error_reporting(E_ALL);
 
$queryInsert = <<<SQL
INSERT INTO Admin (
    Nom_Admin,
    Matricule_Admin,
    Password
) VALUES (
    "{$co->real_escape_string($_POST['Name'])}",
    "{$co->real_escape_string($_POST['Matricule'])}",
    "{$co->real_escape_string($_POST['Pw_1'])}"
)
SQL;
 
$resuInsert = $co->query($queryInsert) or die ("{$co->error} queryInsert");

**Byron_1** · 28/06/2013, 13h01

Euh, lors de mon cursus je ne l'ai jamais vu, et personne ne m'a jamais critiqué sur ma façon de faire. De ce fait, je ne me suis jamais posé la question. Mais bon, vaut mieux tard que jamais pour apprendre. Je suis encore jeune, ça passe ! Je sais que chez moi j'ai mes anciens codes d'insertion dans une base via un formulaire (qui marchait et qui ont été présenté lors d'une soutenance). Si tu es d'accord et je les posts en MP ou sur cette discussion, et me dire "pourquoi c'est pas bien de faire ça" x) Je te remercie, toi ainsi que les autres sur cette discussion de prendre le temps de m'aider.
Et d'ailleurs, c'est quoi cette syntaxe que tu mets avec les <<< ? Jamais vu ça encore et pour toi, cela te semble logique de l'utiliser. Donc, faudra que je m'y mette.

Ton code marche nikel sans aucunes fautes et rentre bien les données voulu dans la base. Je comprends pas la syntaxe, mais je vais m'y pencher pour pouvoir l'utiliser par après.
Ps : Je tiens à m'excuser de n'avoir pas fait attention à mes balises CODE et leurs indentations.

**rawsrc** · 28/06/2013, 13h24

Regarde les différentes manières d'écrire du code lisible en PHP avec les syntaxes un peu exotiques : ici

Pour être franc, ça m'étonne à peine que personne ne t'ait fait de remarques dans ton cursus. Les profs (dans la grande majorité) sont totalement déconnectés de la réalité, ont souvent un train de retard dans la mise à jour de leur savoirs et surtout ont trop souvent tendance à se reposer sur leur lauriers (purée, quelle image j'en ai...).

Je suis tout disposé à t'apporter une critique constructive concernant le code en rapport de ta soutenance. Fais comme tu le sens.

**Byron_1** · 28/06/2013, 13h36

J'en ai la même image et je sors seulement de mon cursus d'IUT. Je te fournirais mon code ce soir en MP, c'est, en tout cas, très gentil de ta part. J'accepterais toutes tes remarques, elle sme permettront d'avancer.

Invité · 28/06/2013, 14h51

J'ai honte d'avoir oublié les quotes dans ma 1ère réponse...

Si on les requêtes avec la méthode pdo il n'y a pas besoin du real_insert_string. Je ne me trompe pas (il me semble avoir fait des tests)?

Syntaxe heredoc a l'air sympa. Le code final semble plus facile à lire avec.
Faut-il la privilégier?