Discussion :

[guy2004]

Bonjour,
J'ai 2 tables reliées par une clé :
Table USER dont clé primaire est "iduser".
Table COURS dont clé etrangere est "userid"
==> donc iduser = userid
Je selectionne tous les cours et les affiches avec une boucle sous forme d'un tableau.
Mais dans ce tableau je voudrai inserer une cellule affichant le "username" pris dans la table USER qui correspond à l'userid de la table COURS mais j'arrive pas à le faire !
Voici mes requetes :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
$story_sql = "select * from cours
                where page = '".$pages['code']."'
                and published is not null
                order by published desc";
				$story_result = mysql_query($story_sql, $conn);
  if (mysql_num_rows($story_result)) {
$story_sql = "select * from cours
                where page = '".$pages['code']."'
                and published is not null
                order by published desc";
				$story_result = mysql_query($story_sql, $conn);
  if (mysql_num_rows($story_result)) {
...affichage du tableau

Pour ma requete suivante concernant les noms :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$result="select username from user where iduser = .'$story[userid]'";

a partir de là je bloque !
Merci à ceux qui m'aideront :-)

[the_jeck]

Une proposition avec une jointure sur les deux tables :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
$story_sql = "select cours.*, user.username 
   from cours 
      left join user on (user.iduser = cours.userid)
   where page = '".$pages['code']."'
                and published is not null
                order by published desc";
$story_result = mysql_query($story_sql, $conn);

Et puis que je suis un maniaque je dirais même : les doubles quotes sont ici inutile, et pour éviter les problèmes d'injection SQL :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
$story_sql = 'select cours.*, user.username 
   from cours 
      left join user on (user.iduser = cours.userid)
   where page = "'. str_replace('"', '\"', $pages['code']) .'"
                and published is not null
                order by published desc';
$story_result = mysql_query($story_sql, $conn);

[guy2004]

Je te remercie the_jeck c'est exactement ce que je voualis, j'ai encore des soucis avec les jointures mais ca va finir par rentrer.
Dis moi stp c'est quoi cette manip qui doit eviter le sql injection ?

[the_jeck]

en fait, lorsque tu mets une variable dans une chaine qui devient une requete SQL... il faut éviter que cette variable puisse contenir un code qui va modifier le comportement de ta quete...

par exemple dans ton cas si j'ai ca :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$pages['code'] = 'tutu"; select * from user;';

ta quete SQL risque de ressembler à ca :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
select cours.*, user.username from cours left join user on (user.iduser = cours.userid) where page = "tutu"; select * from user; "...

on se retrouve avec plusieurs requetes concécutives... dont une qui vient d'une variable (par exemple un champ input ?)

avec le str_replace :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

select cours.*, user.username from cours left join user on (user.iduser = cours.userid) where page = "tutu\"; select * from user; "...

la requete injectée se retrouve traitée comme une simple chaine de caractère, la requète d'origine ne renverra sans doute aucun enregistrement, mais rien de plus.

Voilà le principe ;-)

[guy2004]

ok merci !

[tigunn]

8) Salut,

juste une petite remarque en passant tu peut utiliser la fonction addslashes() (et sa copine stripslashes() ) pour s'assurer contre l'injection sql. C'est plus simple que str_replace() , isnt'it ?

bon dev'

[guy2004]

oui !

[Mr N.]

8) Salut,

juste une petite remarque en passant tu peut utiliser la fonction addslashes() (et sa copine stripslashes() ) pour s'assurer contre l'injection sql. C'est plus simple que str_replace() , isnt'it ?

bon dev'

+1 sachant que pour mysql ca ne suffira pas car il reste les caractères à slasher :
http://us2.php.net/manual/fr/function.mysql-real-escape-string.php

[the_jeck]

Ah tien, je ne la connaissais pas cette fonction !! merci beaucoup !! ca va en aider plus d'un par ici ;-)