D'abord concernant ton problème d'origine :
Je parie que le champ id_candidat de ta table candidat est un nombre alors que le champ identifiant de ta table user est une chaine.
Dans une condition SQL, les chaines doivent être placées entre quotes :
SELECT * FROM user WHERE identifiant = 'celira'
SELECT * FROM candidat WHERE id_candidat = 42
Ensuite, par rapport à ce dont parle notre ami dalmatien () :
Injecter directement les données envoyées par un utilisateur, c'est une magnifique faille SQL.
Si ton utilisateur renseigne comme identifiant toto' OR '1'='1, le code $sql = "SELECT * FROM user WHERE identifiant ='" . $_GET["user"]."' "; va te remonter toute la table user
Partager