Discussion :

[nounouuuuu201186]

Bonjour,
Je veux modifier les coordonnées d'un client donné. En effet, en cliquant sur le bouton "modifier" dans la page index.php, il me renvoie vers un formulaire pour saisir les nouvelles coordonnées. En envoyant le formulaire, les données seront mise à jour dans la base de données.
Mon problème est la perte du paramètre envoyé à partir de la page index.php dès l'envoie du formulaire.
Voici ma page index.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
 
<!DOCTYPE html>
<html lang="fr">
    <head>
        <title>Update-Delete</title>
         <meta charset="utf-8" />
        <link href="style.css" rel="stylesheet" type="text/css" />
 
    </head>
    <body>
 
        <table  class="tab">
  <tr >
    <th class="tab1">CIN</th>
    <th class="tab1">Nom</th>
    <th class="tab1">Prénom</th>
    <th class="tab1">Email</th>
    <th class="tab1">Date naissance</th>
    <th class="tab1">Action</th>
  </tr>
 
<?php
    // Connexion à la base de données
     include("connexion.php");
     $req_sel="SELECT id, cin, nom, prenom, email, date_n FROM client";
     $rep= $bdd->query($req_sel);
     while ($donnees = $rep->fetch())
     {
?>
 
 
 <tr>
    <td class="tab2"><?php echo $donnees['cin']; ?></td>
    <td class="tab2"><em> <?php echo $donnees['nom']; ?></em></td>
    <td class="tab2"><em> <?php echo $donnees['prenom']; ?></em></td>
    <td class="tab2"><?php echo $donnees['email']; ?></td>
    <td class="tab2"><?php echo $donnees['date_n']; ?></td>
    <td class="tab2"><a href="supprimer.php?delete=<?php echo $donnees['id'];?>" class="bouton_rouge" onclick="return confirm('Êtes-vous sûre de vouloir supprimer ce client ?');">Supprimer</a> <a href="modifier.php?id=<?php echo $donnees['id'];?> " class="bouton_rouge">Modifier</a></td>
  </tr>
 
 <?php
        } // Fin de la boucle des clients
         $rep->closeCursor();
?>
 
</table>
 
 
    </body>
</html>

et voici ma page modifier.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
 
 
<!DOCTYPE html>
<html lang="fr">
    <head>
        <title>Modifier</title>
         <meta charset="utf-8" />
      <!-- IMPORT Feuilles de styles -->
	<link rel="stylesheet" type="text/css" href="style.css" media="all"/>
    </head>
    <body>
 
 
    <?php
 
        if (!isset($_POST['cin']) && !isset($_POST['nom']) && !isset($_POST['prenom']) && !isset($_POST['email']) && !isset($_POST['date_n']))
    {
        # $id=$_GET['id']; 
        # echo $id;
 
        ?>
	<form method="post" action="modifier.php" >
		<fieldset>
 
				<p class="error"></p>
            <label for="cin">CIN</label> 
        		<input type="number" name="cin" id="cin"  required/>
        	<label for="nom">Nom</label> 
        		<input type="text" name="nom" id="nom"  required/>
            <label for="prenom">Prenom</label> 
        		<input type="text" name="prenom" id="prenom"  required/>
        	<label  for="email">Email</label>
        		<input type="email"  name="email" id="email"   required/>
            <label for="date_n" >Date naissance</label>
                <input type="date"  name="date_n" id="date_n"   required/><br />
        		<button type="submit">Modifier</button>
      		</fieldset>
	</form>
    <?php
       } 
       else{
 
    $id=$_GET['id'];
    $new_nom= $_POST['nom'];
     include("connexion.php");
     $req="UPDATE client SET nom=$new_nom WHERE id=$id";
     $rep=$bdd->exec($req);
       }
    ?>  
</body>
</html>

Le problème est:

( ! ) Notice: Undefined index: id in C:\wamp\www\UpdateDelete\modifier.php on line 42

[sabotage]

Remets l'id en champs caché dans le formulaire.

[nounouuuuu201186]

C'est une très intelligente idée.
Voici ma nouvelle page modifier.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
<!DOCTYPE html>
<html lang="fr">
    <head>
        <title>Modifier</title>
         <meta charset="utf-8" />
      <!-- IMPORT Feuilles de styles -->
	<link rel="stylesheet" type="text/css" href="style.css" media="all"/>
    </head>
    <body>
 
 
    <?php
 
        if (!isset($_POST['cin']) && !isset($_POST['nom']) && !isset($_POST['prenom']) && !isset($_POST['email']) && !isset($_POST['date_n']))
    {
        # $id=$_GET['id']; 
        # echo $id;
 
        ?>
	<form method="post" action="modifier.php" >
		<fieldset>
 
				<p class="error"></p>
            <label for="cin">CIN</label> 
        		<input type="number" name="cin" id="cin"  required/>
        	<label for="nom">Nom</label> 
        		<input type="text" name="nom" id="nom"  required/>
            <label for="prenom">Prenom</label> 
        		<input type="text" name="prenom" id="prenom"  required/>
        	<label  for="email">Email</label>
        		<input type="email"  name="email" id="email"   required/>
            <label for="date_n" >Date naissance</label>
                <input type="date"  name="date_n" id="date_n"   required/><br />
            <input type="hidden" name="id" value=<?php echo $_GET['id'];?> />
        		<button type="submit">Modifier</button>
      		</fieldset>
	</form>
    <?php
       } 
       else{
 
    $id=$_POST['id'];
    #echo  $id ; 
    $new_nom= $_POST['nom'];
   #  echo  $new_nom ; 
     include("connexion.php");
     $req="UPDATE client SET nom=$new_nom WHERE id=$id";
     $rep=$bdd->exec($req);
    # header('Location: index.php');
       }
    ?> 
 
 
 
</body>
</html>

La modification au niveau de la base de données ne se fait pas. Pourquoi?

[nounouuuuu201186]

Il s'avère que le problème provient de la requête.
J'ai réglé le problème avec les requêtes préparées.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
<?php
       } 
       else{
 
     include("connexion.php");
     $req="UPDATE client SET nom=? WHERE id=?";
     $rep=$bdd->prepare($req);
     $rep->execute(array($_POST['nom'],$_POST['id']));
    header('Location: index.php');
       }
    ?>

[sabotage]

Il te manque des guillemets :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<input type="hidden" name="id" value="<?php echo $_GET['id'];?> "/>

Pense à protéger tes requêtes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
  else{
     include("connexion.php");
     $req="UPDATE client SET nom=:nom WHERE id=:nom";
     $rep=$bdd->prepare($req);
     $rep->execute(array(':nom'=> $_POST['nom'], ':id'=>$_POST['id']));
     // header('Location: index.php');
}

[laurentSc]

Bonjour, je suis débutant en PDO ; avant, j'utilisais que _MySQL puis _mySQLi. Je cherche à comprendre ce que veut dire "protéger" ; et lorsqu'on m'avait initié à PDO, les requêtes (préparées) étaient de ce genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
        $req="UPDATE client SET nom=:nom WHERE id=:nom";
	$st=$this->prepare($req);
        $st->bindValue(":nom",$_POST['nom']);
        $st->bindValue(":id",$_POST['id']); 
	$res=$st->execute();

un brin d'explication ?
Et y a-t-il un rapport avec cette fonction : mysql_real_escape_string() ?

[nounouuuuu201186]

Je suis encore débutante avec PDO mais je vais essayer de vous répondre selon mes connaissances et aux autres membres de me corriger.
C'est bien de se familiariser avec PDO. Pour la connexion à la base de données, entre PDO et MySQL_connect, PDO est conseillé car:
1)PDO est prévue de devenir un standard.
2)Mysql_connect est obsolète et est amené à disparaître.
3)PDO est flexible en permettant la migration d’une base de données à une autre rapidement.
4)PDO, avec son système de requêtes préparées, assure la sécurité du contenu contre les injections SQL.
Pour ce quatrième point, il ne faut jamais faire confiance aux données qui transitent de page en page ($_GET,$_POST).
Par exemple $_POST['nom'] peut être un code JavaScript injecté par le visiteur. Pour éviter cette faille (injection SQL), il faut penser à protéger les variables.

[sabotage]

Les 3 écritures sont similaires et la finalité rejoinds effectivement celle de mysql_real_escape_string().

Cela permet d'insérer tout type de chaine

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$chaine = 'ceci est un "chat"';
$sql = 'INSERT INTO table VALUES ("' . $chaine . '")';
// INSERT INTO table VALUES ("ceci est un "chat"")
// la chaine est cassée au deuxième "

et également d'empecher l'injection de contenu SQL
http://fr.wikipedia.org/wiki/Injection_SQL

[ABCIWEB]

Autrement dit :
La fonction équivalente de mysql_real_escape_string pour pdo est la fonction "quote".

Il se trouve que les requêtes préparées permettent de par leur abstraction d'avoir un degré de sécurité supérieur. Et donc on utilise souvent des requêtes préparées en liant les valeurs soit avec un bind, soit en passant un tableau dans execute(), pour avoir des requêtes plus sécurisées.

(mais on utilise l'une ou l'autre des fonctions et pas les deux, je veux dire qu'on utilise pas la fonction "quote" dans une requête préparée.)

[laurentSc]

Je résume ce que j'ai compris ; merci de me corriger si nécessaire :
pour éviter les injections SQL, il faut protéger ses requêtes. Pour faire cela, le plus sécuritif est d'utiliser des requêtes préparées, et donc dans ce cas soit de faire un bind, soit de passer un tableau à la méthode "execute" (mais pas les 2 !) (Et si on fait ça, inutile de recourir à la méthode pdo "quote").

[ABCIWEB]

Oui c'est ça.

[nounouuuuu201186]

Remets l'id en champs caché dans le formulaire.

On peut procéder aussi comme ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
<form method="post" action="modifier.php?id=<?php echo (int) $_GET['id']; ?>" >

[papajoker]

On peut procéder aussi comme ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
<form method="post" action="modifier.php?id=<?php echo (int) $_GET['id']; ?>" >

Oui en effet ca marche bien

Il est tellement plus simple d'utiliser 2 méthodes pour transmettre des données qu'une seule
il est tellement plus sécurisé de passé l'id par l'url au lieu de la cacher( un peu)