Discussion :

[GregorLabel]

Bonsoir,

Je monte un éditeur de news et je suis confronté au problèmes des apostrophes. La requête ne passe pas ! je ne sais pas comment faire, je n'ai pas trouvé de question sur le sujet sur ce forum, pas d'autres tuyaux sur mes recherches que "tu n'as qu'à protéger tes apostrophes"... Mais je ne peux pas demander à celui qui écrit une new de protéger ses guillemets simples ou de ne pas mettre des apostrophes !

D'autre part j'ai récupéré la requête en erreur et l'ai passée dans le SQL de mon Phpmyadmin. En essayant de mettre shlash et antishlash, mais ça plante le reste de la requête. J'ai essayé addshlash() et ça ne marche pas non plus...

Y a-t-il une solution ?

Merci par avance de vos réponses et bonne soirée à toutes et à tous...

[Willy_k]

Salut,

Je vois que vous utiliser PHP et addslashes n'a jamais été la solution.
Si vous utilisez PDO ou mysqli , préparer votre requête suffit amplement pour régler le problème.

[GregorLabel]

Bonjour et merci pour votre réponse.

Je n'utilise pas mysql mais mysqli, mais je ne sais pas construire des requêtes préparées. Ensuite j'ai mentionné addshlashes car j'ai vu un sujet sur le Net qui préconisait cela et, en désespoir de cause, j'ai testé cela, entre autres, mais sans résultat, comme je vous le disais. J'ai déjà bien avancé dans mes pages. Apprendre les requêtes préparées, changer tout dans mes pages risque de tout rendre confus... Je n'en ai pas le courage.
Cependant, sauf votre respect, votre réponse n'en est pas vraiment une car vous me donnez des pistes alors que je cherche depuis deux jours et des pistes j'en ai vues beaucoup, sans avoir trouvé de réponse satisfaisante. C'est pour cela que je me suis adressé à vous tous, pour avoir une réponse sous forme de code, du concret, ou un lien vers des exemples construits, pratiques, pas théoriques.
Ma requête, si pas d'apostrophe, fonctionne... c'est ça que je cherche à faire, la même requête, mais qui fonctionne quel que soit le caractère saisi (je protégerais les entrées au final pour éviter les codes indésirables...)

Pour finir, bien entendu, le pb ne vient pas de la requête mais du PHP... Comment m'en sortir alors ?!

Merci de vos réponses et bonne journée.

[Willy_k]

Les requêtes préparées ne sont pas compliquées à mettre en place suffire de lire le manuel de mysqli et pour un truc plus aisé utiliser (peut être) PDO (il y a un tuto sur ce site ou lire la documentation officielle).
Avec mysqli , on peut utiliser la fonction mysqli_real_escape_string à chaque fois qu'on veut "injecter" des données dans la requête .
Il va falloir apporter des modifications à vos codes pour gérer ce cas, pas d'autres alternatives.

Possible de voir à quoi ressemble une requête dans votre code actuel ?

[GregorLabel]

Merci pour votre post,

Ma requête ? Une requête INSERT... :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
$sql = 
"INSERT INTO news
   (date_new, titre_new, stitre_new, par_1_new, par_2_new, par_3_new, img_new_1, lgnd_new_1, alt_new_1, img_new_2,
   alt_new_2, lgnd_new_2, auteur_new, edit_new )
VALUES
   ('".$date_new."', '".$titre_new."', '".$stitre_new."', '".$par_1_new."', '".$par_2_new."', '".$par_3_new."', '".$img_new_1."', '".$alt_new_1."',
   '".$lgnd_new_1."', '".$img_new_2."', '".$alt_new_2."', '".$lgnd_new_2."', '".$auteur_new."', '".$edit_new."' )";
mysqli_query ($conn,$sql) or die ('Erreur SQL !'.$sql.'<br />'.mysqli_error());

Considérant qu'il n'y a pas d'autres réponses je pense que ce problème est résolu. Bonne soirée à vous...