Discussion :

[Skilly-]

Bonjour,


lorsque je veux insérer une ligne dans ma BDD, j'ai cette erreur :

Parse error: syntax error, unexpected T_CONSTANT_ENCAPSED_STRING in C:\wamp\www\WEB\insert_location.php on line 83

Après avoir essayé de différentes manières, je ne vois pas ce qui cloche dans mon code (quand je mets des valeurs fixes ça fonctionne bien) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
$nombreDeLigne = $connexion->exec('INSERT INTO client(nom,prenom,date_naissance,email,tel,date_permis) VALUES("'.
 
$_SESSION['nom'].'","'.$_SESSION['prenom']'","'.$date_nais.'","'.$_SESSION['mail'].'","'.$_SESSION['tel'].'","'.
 
$date_permis.'")');
 
if ($nombreDeLigne==1){
	echo "L'enregistrement a bien ete effectue !";
}

Merci d'avance

[ABCIWEB]

Avec les requêtes non préparées il faut utiliser la fonction quote pour protéger les variables dans la requête.

[sabotage]

Il manque un point :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

. $_SESSION['prenom'] . '","

Cependant la remarque d'ABCIWEB est vraie.

[Skilly-]

En effet.. merci

Avec les requêtes non préparées il faut utiliser la fonction quote pour protéger les variables dans la requête.

Merci pour l'info. La méthode que j'ai utilisé peut poser un problème de fonctionnement ?

[sabotage]

Par exemple si tu as un utilisateur N'Guyen ça va rater.

[Skilly-]

Ah oui d'accord je vois !
Mais j'ai testé et ça fonctionne pourtant bien, même avec un utilisateur dont le nom contient un " ' ".

[sabotage]

Mon exemple n'est pas bon dans ton cas ... disons que si quelqu'un saisie super"toto, ça va rater.
Quand je dis rater, c'est le moins grave : ne pas protéger les données conduit vers les injections malveillantes.
Bref, il faut prendre en compte tout ça.

[ABCIWEB]

Pour détailler un peu plus la fonction quote permet d'échapper des caractères qui provoqueraient une rupture de la chaine de la requête. Dans le meilleur des cas cela provoque une erreur mais certains (pirates) pourraient profiter de l'occasion pour modifier la requête et l'on parle alors d'injection sql. Donc pour une requête standard (non préparée) il faut prendre l'habitude d'utiliser cette fonction sur chaque variable.

Concernant les requêtes préparées, c'est le fait de lier les variables à des marqueurs qui permet d'isoler les variables de la requête et dans ce cas on utilise pas la fonction quote.

[Skilly-]

D'accord je note, merci pour l'info.
Dans mon cas c'est juste pour un petit projet en local donc ce n'est pas très grave.

[ABCIWEB]

Dans mon cas c'est juste pour un petit projet en local donc ce n'est pas très grave.

Bah en plus de l'insécurité tu risques des dysfonctionnements.
J'insiste un peu car il faut savoir que la non utilisation de cette fonction sur les variables dans des requêtes non préparées fait partie du haut du top ten de ce qu'il ne faut pas faire dans un site web
Effectivement dans certains cas cela ne pose pas de pb mais si tu commence à négliger des choses aussi essentielles il est probable que tu rencontre de nombreuses difficultés pour avoir un code final fonctionnel, même en local