apostrophe dans mysql

**cyberthommy** · 04/08/2017, 18h29

Bonjour,
Voila j'ai un souci avec les apostrophes lorsque je veux faire un UPDATE avec php de ma base de données.
Voici le code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
<?php
session_start();
if (isset($_SESSION['id'])) {
   header('Location: ../index.php');
 
    exit;
}
$cnx = mysql_connect( "", "", "" ) ;
$db = mysql_select_db( "" ) ;
 
  $login            = $_POST["login"] ;
  $nom_site            = $_POST["nom_site"] ;
  $url                = $_POST["url"] ;
  $banniere            = $_POST["banniere"] ;
  $backlink            = $_POST["backlink"] ;
   $rubrique        = $_POST["rubrique"] ;
   $mc1                = $_POST["mc1"] ;
   $mc2                = $_POST["mc2"] ;
   $mc3                = $_POST["mc3"] ;
   $mc4                = $_POST["mc4"] ;
   $mc5               = $_POST["mc5"] ;
   $mc6                = $_POST["mc6"] ;
   $mc7               = $_POST["mc7"] ;
   $mc8                = $_POST["mc8"] ;
   $mc9                = $_POST["mc9"] ;
   $mc10            = $_POST["mc10"] ;
   $email            = $_POST["email"] ;
   $descriptif        = $_POST["descriptif"] ;
  $id                = $_POST["id"] ;
  //création de la requête SQL:
$sql ="mysql_real_escape_string() ";
$sql = "UPDATE utilisateurs
            SET 
login               = '$login', 
nom_site            = '$nom_site',
url                 = '$url',
banniere            = '$banniere',
backlink            = '$backlink',
rubrique            = '$rubrique',
mc1                = '$mc1',
mc2                 = '$mc2',
mc3                 = '$mc3',
mc4                 = '$mc4',
mc5                 = '$mc5',
mc6                 = '$mc6',
mc7                 = '$mc7',
mc8                 = '$mc8',
mc9                 = '$mc9',
mc10                = '$mc10',
email                = '$email',
descriptif               = '$descriptif'


WHERE id = '$id' " ;
 
  //exécution de la requête SQL:
  $requete = mysql_query($sql, $cnx) or die( mysql_error() ) ;
 
  //affichage des résultats, pour savoir si la modification a marchée:
  if($requete)
  {
    echo("La modification à été correctement effectuée") ;
  }
  else
  {
    echo("La modification à échouée") ;
  }
?>

Et voici ce que me retourne la page web :

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near 'un fichier Excel (programme indispensable pour utiliser cette version) qui regro' at line 20

Est-ce que quelqu'un aurait une idée comment échapper les apostrophes ?
Merci pour vos réponses.

**al1_24** · 04/08/2017, 18h42

En SQL, les chaines sont encadrées d'apostrophes. Il est donc nécessaire d’identifier les apostrophes à l'intérieur d'une chaine pour ne pas les confondre avec un marquer de fin de chaîne.
Selon la norme du langage SQL, il suffit de doubler une apostrophe à l'intérieur d'une chaine pour la faire prendre en compte...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

SELECT 'C''est une chaine avec l''apostrophe doublée' FROM matable

D'autres solutions existent en PHP (mais je ne suis pas développeur PHP)

**Willy_k** · 04/08/2017, 19h08

Salut,

faudrait appliquer mysql_real_escape_string sur vos variables (exemple $login = mysql_real_escape_string($_POST["login"]);).
Mais à moins d'être contraint, on n'utilise plus cette API pour manipuler les BDD, il y a mieux PDO ou MYSQLI avec les requêtes préparées par exemple

**cyberthommy** · 04/08/2017, 23h08

Merci pour vos réponses. j'ai essayé ceci :

descriptif = '$descriptif = 'mysql_real_escape_string($_POST['descriptif'])'

Mais ça ne fonctionne pas j'ai l'erreur :

Parse error: syntax error, unexpected '' (T_ENCAPSED_AND_WHITESPACE), expecting identifier (T_STRING) or variable (T_VARIABLE) or number (T_NUM_STRING) in...

Mais ça ne fonctionne pas. Au secours