Discussion :

[philippef]

Bonjour.

Dans ma table j'ai saisi un nom avec ' (l'éléphant).
quand je saisi l'éléphant et que je le compare au nom qui est dans la table j'ai une erreur.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
if (isset($_POST['nom_etablist']))		$nom_etablist = $_POST['nom_etablist'];
else $nom_etablist = "";
	$sql = mysql_query("SELECT id_etablist, nom_etablist FROM etablissement WHERE nom_etablist LIKE '%$nom_etablist%'");
	if (mysql_num_rows($sql) > 0){
		$res = mysql_fetch_array($sql);
		$id_etablist = $res['id_etablist'];
		$nom_etablist_table = $res['nom_etablist'];
	}
<form name="log" method="POST" action="index.php?page=log_candidats">
<table border="0" align="center">
	<tr>
		<td align="right" height="70px">Nom de l'entreprise ou &nbsp;&nbsp;<br />de l'établissement scolaire &nbsp;&nbsp;</td>
		<td> <input type="text" name="nom_etablist" value="<?php if (!empty($nom_etablist_table)) { echo $nom_etablist_table; } else {echo $nom_etablist;}?>" style="font-size:13px; width:350px"></td>
	</tr>
	</tr>
</table>
</form>

Merci d'avance

[chtipitou]

et oui tu viens de decouvrir que ta requette a une faille de type injection SQL

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$nom_etablist = mysql_real_escape_string($_POST['nom_etablist']);

[philippef]

ok merci ça marche
me reste à faire ça un peu partout où je avoir ce genre de chose