Discussion :

[schats]

bonjour j'ai un petit problème avec ma messagerie personelles elle ne veu pas marcher mais par contre elle me renvoye des erreurs
Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /media/160go/hebergement/spouts.goldzoneweb.info/espace_membre/mp.php on line 49

Fatal error: Call to undefined function mysql_real_escape() in /media/160go/hebergement/spouts.goldzoneweb.info/espace_membre/mp.php on line 64
maitenant je vous donne les code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
if(empty($_POST['pseudo_recepteur']))
                {
                $erreur[] = 'veullez mettre un pseudo';
				$sdz = mysql_query("SELECT * FROM membre WHERE pseudo ='".$_POST['pseudo_recepteur']."'")or die (mysql_error());//ligne 49
               }
        elseif(mysql_num_rows($sdz)<0)
{
$erreur[] = ' ben  le pseudo demander n\'existe pas';
}

le deuxième

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
				if(empty($erreur))
{  
$titre = mysql_real_escape($_POST['titre']);
$message = mysql_real_escape($_POST['commentaire']);
$id_recepteur = inval($sdz['id']);
mysql_query("INSERT INTO mp values ('','".$titre."','".$message."','".$id_recepteur."','".$id_envoyeur."'");
}
}

merci de l'attention porte sur mon problème

[Hervé Saladin]

premier problème :
apparament tu as un serieux problème de logique dans tes conditions ! avec ton mysql_num_rows, tu essayes de compter les lignes d'une requete que tu n'a pas executée, puisque tu es dans le else !
essayes plutôt :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
if(empty($_POST['pseudo_recepteur']))
     $erreur[] = 'veullez mettre un pseudo';
else
{
     $sdz = mysql_query("SELECT * FROM membre WHERE pseudo ='".$_POST['pseudo_recepteur']."'")or die (mysql_error());//ligne 49
 
     if(mysql_num_rows($sdz) <= 0)
          $erreur[] = ' ben le pseudo demander n\'existe pas';
}

de plus, avec le code suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_query("SELECT * FROM membre WHERE pseudo ='".$_POST['pseudo_recepteur']."'")

tu introduis probablement une grosse vulnérabilité aux attaques par injection SQL ... fais gaffe !

2e problème :
la fonction c'est mysql_real_escape_string() et pas mysql_real_escape(), tu pourrais faire un effort et consulter la doc php sur ce genre d'erreur ...

[schats]

oups désoler pour la fonction
euh quelle est meilleur fonction pour éviter les injection sql

[Hervé Saladin]

quelle est meilleur fonction pour éviter les injection sql

=> Ne JAMAIS inclure dans une requete SQL des données "brutes" de la requete HTTP ($_GET, $_POST, ou $_COOKIES) sans les avoir vérifiées.
La précaution élémentaire minimum étant d'échapper ces données :

Code PHP :

Sélectionner tout - Visualiser dans une fenêtre à part

mysql_query("SELECT * FROM membre WHERE pseudo ='".mysql_real_escape_string($_POST['pseudo_recepteur'])."'")

Ce conseil est valable pour tous les languages, en particulier dans un contexte client-serveur tel que le web car très exposé aux attaques, donc même chose en ASP, PERL, J2EE etc ...

[schats]

en faite le truc simple c'est de sécuriser tout les données avant de vérifier
avec le code que tu ma donner j'ai un petit problème pour les elseif qui suis
l'erreur
Parse error: syntax error, unexpected T_ELSEIF in /media/160go/hebergement/spouts.goldzoneweb.info/espace_membre/mp.php on line 55

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
$erreur[] = ' ben le pseudo demander n\'existe pas'; 
		}
		elseif(empty($_POST['titre']))//ligne 55
{
$erreur[] = ' merci de mettre un titre';
}
elseif(empty($_POST['commentaire']))
{
$erreur[] = 'merci de mettez un texte';