Discussion :

[sly33]

Bonjour,

Voici mon souci:
L'utilisateur saisit dans un textarea des données pour qu'elles soient entrées dans ma base... Or lorsqu'il saisit une apostrophe, les données enregistrées dans la base s'arrête à cette apostrophe. Ce qui est saisit dans le textarea et bien sur tout d'abord stocké dans une variable...
J'ai essayé d'utiliser la fonction addslashes() mais rien y fait...
Voici ma requête:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$sql_ins_rec = "INSERT INTO record(data1,data2) VALUES('$data1','$data2')";

et donc si on saisit: test's test
seul test\ est enregistré...
Par contre si j'utilise une requête de modification avec UPDATE, çà fonctionne... J'ai bien test's test d'enregistré...

Quelqu'un a une solution?

[sly33]

Est-ce que mon problème ne vient pas de "magic_quotes_gpc" qui est sur off?

[Nesmontou]

Salut, tu as essayé d'afficher ta requête pour voir si elle était correcte ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

echo $sql_ins_rec;

[sly33]

Oui, je l'ai fais... et à part le fait que j'ai 'test\\' pour data1 (par exemple), elle est correcte il me semble...

[J0r_x]

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$sql_ins_rec = 'INSERT INTO record(data1,data2) VALUES("$data1","$data2")

Je ne pense pas que l'utilisateur écrira des " :p

[sly33]

j'ai tenté les " mais ma requete ne fonctionne plus du tout dans ce cas

[J0r_x]

C'est moi je fais des erreurs.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$sql_ins_rec = 'INSERT INTO record(data1,data2) VALUES("'.$data1.'","'.$data2.'")'

[sohnic]

Bonjour,
C'est curieux que le addslashes fonctionne pour l'update et non pour l'insert.
Es-tu sur de l'avoir placé au bon endroit ? Pas de faute de frappe ?
Ex.: $datata1=addslashes($data1);
Puis tu fais un insert avec $data1 et non $datata1

Une idée en passant....
Sohnic

[sly33]

je trouve çà aussi curieux et j'ai bien sûr vérifié les syntaxes avant de "poster"

[sly33]

J'ai essayé ta solution J0r_x... et j'obtiens le même résultat
cad: test\ au lieu de test's test

[sohnic]

Bonjour,
Je n'ai aucune explication concernant ton problème...
As-tu essayé avec mysql-real-escape-string plutot que addslashes ?
(http://www.php.net/manual/en/functio...ape-string.php)

Peut-etre une porte de sortie...

S.

[sahid]

Salut

moi pour évité de m'embrouiller dans mes requettes avec les "" et ''

j'utilise cette forme :

http://pastebin.funraill.org/0b37792...42a77f8d32bda/

si ca peux servire d'astuce à certain ( :

sahid

[sly33]

Alors j'ai testé ce que tu me propose sohnic...
J'ai utilsé cette fonction:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
 
// Protège la variable
function quote_smart($value)
{
   // Stripslashes
   if (get_magic_quotes_gpc()) {
     $value = stripslashes($value);
   }
   // Protection si ce n'est pas une valeur numérique ou une chaîne numérique
   if (!is_numeric($value)) {
     $value = "'" . mysql_real_escape_string($value) . "'";
   }
   return $value;
}

et j' ai fait:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
$data1 = quote_smart($_POST['data1']);
$data2 = quote_smart($_POST['data2']);

juste avant ma requete INSERT... Et cette fois en rentrant test's test pour data1 et 2, j'obtiens comme résultats enregistrés dans la base juste ' (le quote)...

[sly33]

J'ai également testé ta solution Sahid:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
        $sql = <<<SQL
        insert into record (data1, data2) values ("{$data1}", "{$data2}");
SQL;

Et ma page ne se charge meme pas... Meme si j'enlève le ";" avant "SQL;"

[sohnic]

Je ne comprend pas pourquoi tu rajoutes des apostrophes a ta chaine protégée. Du coup, tu te retrouves à nouveau avec des apostrophes non escapés...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
if (!is_numeric($value)) {
     $value = mysql_real_escape_string($value);
   }

Ensuite avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$sql_ins_rec = "INSERT INTO record(data1,data2) VALUES('$data1','$data2')";

tu devrais t'en sortir....

S.

[sly33]

Tu as raison sohnic
J'ai donc fait ce que tu m'as conseillé
Et j'obtiens "test\" comme enregistrement
J'ai l'impression d'être complètement bloqué là....

[sohnic]

Par curiosité, as-tu essayé en commentant

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
/*
if (get_magic_quotes_gpc()) {
     $value = stripslashes($value);
   }
*/

...on ne sait jamais.

S.

[sly33]

alors je viens d'essayer et j'obtiens ceci:
test\\\
par contre magic_quotes_gpc est maintenant sur "on"

[sohnic]

Je pense que tu as un gag la ou tu ne t'y attends pas.
Je te conseille de placer des echo de ton $value, dans la fonction et dans le script et à chaque fois que tu fais une opération dessus.
De meme pour tes requetes sql.

Si vraiment tu ne t'en sors pas, et si ton code n'est pas trop long, poste le.

La, je ne vois vraiment pas de solution....

Sinon, le test que je t'ai demandé de commenter a l'air bon...

Je ne sais vraiment pas quoi te proposer d'autre !

Bon courage,

S.

[sly33]

Merci quand meme pour ton aide sohnic
J'ai déjà tenté de tout afficher... C'est au moment de l'insert dans ma base que l'erreur se produit...
Sinon malheureusement mon code en entier est trop long pour que je puisse le poster