Where avec caractères speciaux

Version imprimable

Bonjour
je veux récupérer mes entrées de table avec un where d'une variable.
dès que j'ai des ' ou des " dans ma chaine le where ne trouve rien.
J'ai essayé un htmlentities mais ça ne fonctionne pas.
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 $prod=$_POST[prod]; if($prod=='autrep'){ $prod=$_POST['newprod']; $prod2='autrep'; } $prod= addslashes($prod); $prodpouralerte= htmlentities($prod,ENT_QUOTES,'ISO-8859-1'); // recupertaion de l'id de prod $mysqlprod="SELECT idprod FROM `list_prod`WHERE `prod` ='$prodpouralerte'"; $resultat=mysql_query($mysqlprod)or die (mysql_error()) ; while ($listeprod = mysql_fetch_assoc($resultat)){ $idprod=$listeprod['idprod']; }

11/01/2013, 16h12
RunCodePhp

Salut

Il ne faut pas utiliser addslashes() ni htmlentities(), mais utiliser la fonction d'échappement dédiée aux données dans une Bdd : mysql_real_escape_string().

Essai déjà avec ça.

A coté de ça, il faut voir comment ont été insérer (enregistrés) tes données.
Pour le savoir il suffit de le vérifier avec PhpMyAdmin (ou autre client MySQL).

Si par exemple une donné contenant des simples ou doubles quote (' ou/et ") contient des antislaches genre : l\'affaire, alors ça ne va pas.
Du coup il faut réparer ça sinon ta requête SELECT que tu fais actuellement causera problème, voir pire, devoir enfoncer le clou un peu plus dans l'erreur en exploitant je ne sais quel combine pour que ça fonctionne.

De même qu'il faudrait vérifier comment est obtenue une donnée en POST, s'il y a aussi des antislash ou pas.

Mais encore, vérifier la valeur de magic_quotes_gpc du coté du php.ini.
Il est très fortement recommandé quelle soit désactivée (valeur à Off).

Petite parenthèse au passage : les fonctions mysql_truc_muche() sont obsolètes, et un des 4 matins elles ne feront plus partie du core de Php.
Php offre 2 autres moyen (librairie) pour manipuler une Bdd Mysql : mysqli (ou MYSQLi Objet) et PDO.
-> la doc : MySQL

Fais le point sur tout cela ;);)
11/01/2013, 22h07
rvm31

Mon problème venait du formulaire qui envoyait les données.
Les données venaient d'un select remplit par la base.
A chaque fois qu'il y avait un double quote celui n'était pas transmis.
j'ai donc rajouté un html entities dans le value de l'option select.
et c'est rentré dans l'ordre.

AVANT

Code:

echo '<option value="'.$listeprod['prod'].'"'.$selected.'">'.$listeprod['prod'].'</option>';

APRES

Code:

echo '<option value="'.htmlentities($listeprod['prod']).'"'.$selected.'">'.$listeprod['prod'].'</option>';

merci RunCodePHP c'est en affichant le POSt que j'ai trouvé le souci.