Discussion :

[protion]

Bonjour

J'ai un petit problème pour faire ma requete SQL

Voila, j'ai un bouton qui r'envois sur Fiche.php?site=PNR-0001, ou PNR-0001 est dans le champ NUMSITE de ma base SQL.


Code de fiche juste la partie requete :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<?php
// on crée la requête SQL
$sql = 'SELECT NUMSITE,NOMSITE,STATUT FROM SitePNR WHERE NUMSITE = "$GET["site"] ';

Je voudrais pourvoir utilise la variable site qui est dans mon URL dans ma selection SQL.

Merci d' avance

[Bovino]

La concaténation se fait avec . en PHP...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$sql = 'SELECT NUMSITE,NOMSITE,STATUT FROM SitePNR WHERE NUMSITE = "' . $GET["site"] . '"';

[protion]

re

Merci pour la réponse rapide, mais cela ne donne rien

http://www.iea45.fr/pnrtest/Fiche.php?site=PNR-0001

une autre idée !!!

[protion]

Bon c'est ok merci il manquait juste le _

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$sql = 'SELECT NUMSITE,NOMSITE,STATUT FROM SitePNR WHERE NUMSITE = "' . $_GET["site"] . '"';

[Yellu]

Salut les variables issues de l'URL sont dans le tableau $_GET et non $GET.

De plus, il faudrait protéger tes concaténations de variables utilisateurs dans l'URL car les injections SQL sont possibles avec ton code.

[Tsilefy]

Oui, Attention Danger!

Avec un code comme ça, n'importe qui peut injecter du code dans ta requête et modifier/supprimer tes données, lire tout le contenu de la base de données, voire dans certains cas prendre le contrôle de ton site. Tous ces sites qui se font pirater? 90% des cas viennent de codes non sécurisés comme ça.

Je suppose que tu utilises déjà PDO ou mysqli (si tu ne le fais pas encore, apprends comme le faire ici et ici.

Utilise ensuite les requêtes préparées, n'utilise jamais de variable directement dans ta requête, et surtout pas $_GET ou $_POST.