Insertion de simples cote dans une table

**bond70** · 02/07/2010, 11h23

Salut,

Voilà j'ai crée un formulaire d'ajout pour insérer des données (du texte) dans ma table SQL.

Le problème c'est que quand mon texte contient des ' la requête d'insertion me retourne une erreur.

Comment pourrais-je résoudre ce problème ?

merci !!!

**Thes32** · 02/07/2010, 11h27

salut,

tu dois utiliser la fonction addslashes

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
$data = addslashes( $data_initial );
$requete = "INSERT INTO my_table VALUES( '', '$data' )";
$result = mysql_query( $requete );

Edit : petite modif

**bond70** · 02/07/2010, 11h34

Salut, maintenant il gueule à cause des simples cote dans la syntaxe de la requête elle-même

exemple ici :

SET texteChamp1='$texte'

merci!

**Thes32** · 02/07/2010, 11h38

peux tu montrer un peu plus de code ?

**bond70** · 02/07/2010, 11h41

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$modifob="UPDATE observation SET texteObservation='$obs1', poursuiteObservation='$obs2' WHERE nomEtudiantObservation='$nom' AND prenomEtudiantObservation='$prenom' AND semestreEtudeId=$idsemestre";
$modifobs=addslashes($modifob);
$req = mysql_query($modifobs) or die('Erreur SQL !<br>'.$modifobs.'<br>'.mysql_error());

Il gueule à cause des simples côtes qui entoure les variables textuelle dans la requête

Exemple ici :

SET texteObservation='$obs1'

Erreur :

Erreur SQL !
UPDATE observation SET texteObservation=\"$obs1\", poursuiteObservation=\"$obs2\" WHERE nomEtudiantObservation=\"$nom\" AND prenomEtudiantObservation=\"$prenom\" AND semestreEtudeId=$idsemestre
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '\"$obs1\", poursuiteObservation=\"$obs2\" WHERE nomEtudiantObservation=\"$nom\" ' at line 1

**Thes32** · 02/07/2010, 11h44

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
$obs1 = addslashes( $obs1 );
$obs2 =  addslashes( $obs2 );
$nom =  addslashes( $nom );
$prenom =  addslashes( $prenom );
$modifob="UPDATE observation SET texteObservation='$obs1', poursuiteObservation='$obs2' WHERE nomEtudiantObservation='$nom' AND prenomEtudiantObservation='$prenom' AND semestreEtudeId=$idsemestre";
$req = mysql_query($modifobs) or die('Erreur SQL !<br>'.$modifobs.'<br>'.mysql_error());

**RunCodePhp** · 02/07/2010, 11h51

Re

Faut utiliser la fonction mysql_real_escape_string()
-> La doc (comme d'had

) : http://fr2.php.net/manual/fr/functio...ape-string.php

Exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
// Une variable $variable qui contiendrait cette chaine : Et l'affaire est réglé
mysql_query('INSER INTO table (champ1) VALUES (\''.mysql_real_escape_string($variable).'\')');
 
//Ou
mysql_query("INSER INTO table (champ1) VALUES ('".mysql_real_escape_string($variable)."')");

Mais de nos jour il y a une classe PDO qui permet de faire des requêtes préparées, du coup se simplifier la tâche avec tout ces histoires de quote et d'injection SQL.
Exemple :

$pdo = new PDO( bla bla bla );
$sth = $dbh->prepare('INSER INTO table (champ1) VALUES (:valeur1)');
$sth->bindValue(':valeur1', $variable, PDO:

ARAM_STR);
$sth->execute();

Insertion de simples cote dans une table

Langage PHP

Vue hybride

Discussions similaires

Partager

Partager