Discussion :

[Marc22]

...

bonjour, ça m'énerve quand j'ai ça,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
$sql=
		"
			INSERT INTO `actualites` 
				(`dates`, `titre`, `descriptif`, `image`, `categorie`, `numcategorie`) 
 
			VALUES
				('$_POST[date_actu]', '$_POST[titre_actu]', '$_POST[descriptif_actu]', '$nom_im', '$categorie', '$_POST[numexpo]');
		";
 
if(mysql_query($sql)){echo "envoi terminé";} // si le message ne s'affiche pas, c'est que rien ne s'est inscrit dans la bdd

Mon INSERT fonctionne sur certaines requêtes, et pas sur d'autres, j'ai trop de fichiers, de formulaires pour mettre le code et ça vous ennuierait plus qu'autre chose.

Je voudrais juste savoir lorsqu'on a ce genre de choses, à quoi cela peut être dû. J'ai essayé de faire un INSERT 1 élément à la fois pensant au départ qu'un des éléments posé problème. Mais rien n'y fait. Le pire c'est que certains enregistrements ayant les mêmes champs remplis, les mêmes champs possédant NULL, s'affichent. Alors pourquoi un enregistrement possédant les mêmes caractérisitiques ne fonctionnerait-il pas?...

Est ce qu'il existe un moyen de debuggé mysql_query?

[asdf007]

mysql_query(...) or die(mysql_error())

Et google "injections SQL", ton code a de grosses failles de sécurité (pas forcément gênantes si tu développes un intranet ceci dit).

[Marc22]

Merci bien, je savais que ça me servirait de le mettre.

Maintenant, j'ai ceci

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '(énumération de mes champs de l'enregistrement posant problème' at line 5

Mais bon ça me confirme bien qu'il doit y avoir soit des caractères qui lui déplaise ou un truc comme ça je pense que ça ira.

Concernant les failles, même si ça fait peur qu'en 3 lignes de codes on me dise que j'ai de grosses failles, merci quand même.

Je précise que c'est pour un back office, j'ai fait un test de variables de session au début de la page où en gros je teste :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
if (!isset($_SESSION["id"]) && !isset($_SESSION["user"])){
 
	echo '
		  <script language="javascript" type="text/javascript">
			  alert("Vous n\'avez pas le droit d\'accéder à cette page ! Veuillez vous authentifier.");
			  document.location=\'index.php\';
		  </script> 
	  ';				
 
}
else{ //corps de la page

Et dans ma page d'authentification, j'ai bien pensé à mettre les mysql_real_escape_string :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
if (isset($_POST['login']) && isset($_POST['mdp'])){ // execution apres envoi du formulaire
 
	$sql=sprintf("SELECT * FROM users WHERE login = '%s' AND passe = '%s';",
		mysql_real_escape_string($_POST['login']),
		mysql_real_escape_string($_POST['mdpass']));

j'ai même testé de m'attaquer par injection sql sans les mysql_real_escape_string, et avec pour vérifier et ça fonctionnait bien, en le mettant je parais les éventuelles attaques.

ça ne suffit pas?

[Marc22]

Ce sont les apostrophes qui me posaient problèmes.

Je comprends pour les sql injections, mais que dois faire?

utiliser mysql_real_escape_string à chaque fois que je traite la base?

Merci.

[Marc22]

Bon je fais les questions réponses, avec mysql_real_escape_string, ça marche, mais que sur les variables $_POST, pas sur les variables style $a.

Même si ça me suffit.

[RunCodePhp]

Bon je fais les questions réponses, avec mysql_real_escape_string, ça marche, mais que sur les variables $_POST, pas sur les variables style $a.

Et pourquoi donc ça ne fonctionnerait sur une variable du style $a ?
Ca fonctionne, je t'assure. Fait un essai.

Aussi, je vois souvent sur ce forum l'utilisation de la fonction sprintf() pour faire des requêtes SQL, et je reste toujours étonné (de cette pratique).
Bien quelle soit utile, je mets beaucoup de réserve sur sa vrai utilité dans ce contexte.

De plus, utiliser le %s ne sert au final à rien, ça ne protègera certainement pas mieux les données.
Ca aurait été plus pertinent si c'était des %d ou autre %f.

Pour ma part, ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$sql = "SELECT * FROM users WHERE login = '".mysql_real_escape_string($_POST['login'])."' AND passe = '".mysql_real_escape_string($_POST['mdpass'])."';";

revient strictement au même.

Ceci dit, à chacun sa manière.

[Marc22]

Merci je prends note.

J'ai pas vraiment adopté de manière j'ai fait selon l'exemple de php manual :

http://fr.php.net/manual/fr/function...ape-string.php