Discussion :

[roswina]

j'ai crée un formulaire de modification , lorsque je saisi un nom dans un champs il le change , mais quand je saisi un nom qui comporte un apostrophe il me renvoie des erreur , il ne l'enregistre pas. voici ma requête

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$sql=  "UPDATE client  SET NOM= UPPER ('".$_POST ['NOM']."'), PRENOM= UPPER('".$_POST ['PRENOM']."'),DATE_NAISS= UPPER('".$_POST ['DATE_NAISS']."'),LIEU_NAISS= UPPER('".$_POST ['LIEU_NAISS']."')
WHERE UPPER (NOM) like UPPER('".$_POST['NOM']."')and  upper (PRENOM) like  upper('".$_POST['PRENOM']."')and  DATE like  '".$_POST['DATE_NAISS']."'";

comment faire pour qu'il prend en compte l'apostrophe et les tirés et autre caractères spéciaux ??

[Invité]

Bonjour,

1/ htmlspecialchars()

2/ pour des questions de sécurité (injection SQL), on ne met JAMAIS de variables $_POST ou $_GET DIRECTEMENT dans une requête SQL !

=> on "NETTOIE" / PROTEGE les données !

• si mysql_ (obsolète) -> mysql_real_escape_string()
• voir aussi les requêtes préparées.

3/ Normalement, pour les tables en base de données, on crée un index auto-incrémenté (donc UNIQUE), qui sert notamment pour les UPDATE (au lieu de ta soupe WHERE... LIKE...)