Discussion :

[steph_stive]

Bonjours

j'ai un problème avec la requete Sql je veux utiliser des variables dans la requête mais je suis bloqué voici la ligne de code qui me pose problème

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$reponse = $bdd->query('SELECT * FROM ram1 WHERE 'Orig'=='$_POST['villeD']'' and 'Dest'== $_POST['villeA'] ORDER BY id DESC LIMIT 0, 10');

Sachant que le formulaire n'existe pas dans la page qui contient ce code mais dans une autre page qui nous amène dans celle ci lorsque le formulaire est rempli.

merci d'avance;

[sabotage]

Ce sont des = simples et il faut echapper tes chaînes avec mysql_real_escape_string.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$reponse = $bdd->query("SELECT * FROM ram1 WHERE Orig='" . mysql_real_escape_string($_POST['villeD']) . "' AND Dest = " . mysql_real_escape_string($_POST['villeA']) . " ORDER BY id DESC LIMIT 0, 10");

[steph_stive]

Bonjour

j'ai essayer votre code mais il m'affiche l'erreur suivante

Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: Access denied for user 'SYSTEM'@'localhost' (using password: NO) in


Merci pour votre reponse

[sabotage]

mysql_real_escape_string() est la version pour l'extension mysql_xxx.
C'est à adapter avec l'extension/bibliotheque que tu utilises, mais il faut echapper tes chaines.

[Nnay_]

le problème viens aussi de tes guillemets (en plus de tes =).
pour mettre une variable dans une chaine délimitée par des apostrophes ('), utilise la concaténation :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
query('select * from table where champ = \''.$_POST["index"].'\'');

ou alors délimite ta chaine par des guillemets doubles (")

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
query("select * from table where champ = '$_POST[\"index\"]'");

tout en faisant gaffe aux guillemets de $_POST['yop'], tout dépends si les magic_quotes sont activés ou pas.

Pour être sûr de ne pas se tromper, je fais:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
query("select * from tabl where  champ = '". $_POST['plop'] ."'");

c'est pas tres optimisé tout ça mais ça permet de moins se planter

[tse_jc]

Bonsoir,

Juste un petit conseil. j'éviterais à ta place de passer directement des variables $_POST en requête.. C'est trop dangereux à mon goût.
En ce qui me concerne je vérifie toujours ce que ces variables contiennent nature/format/contenu et si tout et conforme alors je les passe dans mes traitements, sinon je log et dehors! y a rien à voir