[SQL] problème de concaténation

Version imprimable

28/06/2006, 19h57
yvon_huynh

[SQL] problème de concaténation

bonjour,
j"essais de récupérer une variable par la méthode GET car cette variable est passée par URL d'une autre page.
ensuite je veux executer une requête SQL avec cette variable dans l'expression de la requête.

$sql = 'DELETE FROM gestion_santep WHERE consultation = $_GET[id]';

où $id est passé par URL : /destination.php?id=4

malheureusement la variable $sql n'est pas equivalente a :

$sql = 'DELETE FROM gestion_santep WHERE consultation = 4'; (je le sais en faisant echo $sql).

quelle est la bonne syntaxe svp? Merci

yvon
28/06/2006, 20h10
omarfla
Citation:

Envoyé par yvonh

bonjour,

$sql = 'DELETE FROM gestion_santep WHERE consultation = $_GET[id]';

où $id est passé par URL : /destination.php?id=4

quelle est la bonne syntaxe svp? Merci

yvon

Essaye ceci :
Code:

1 2 3 $id = $_GET['id']; // N'oublie pas les simple quote ;) $sql = "DELETE FROM gestion_santep WHERE consultation = ".$id;
28/06/2006, 20h45
bkill
Je vois de plus en plus de posts, où chacun reprend ses variables $_GET (ou $_POST ou autre) et les réassigne dans des nouvelles variables... Je n'arrive pas trop à comprendre quelle est la stratégie là dedans, mais il doit certainement y en avoir une :)

Sinon, c'est tout à fait possible (et ca évite de redéfinir des variables supplémentaires, inutiles) comme suit:
Code:

1 2 $sql = 'DELETE FROM gestion_santep WHERE consultation = '.$_GET['id'];
28/06/2006, 20h48
cyrill.gremaud
salut ! le mieu est de faire comme cela :
Code:

1 2 extract($_GET[]); $sql = "DELETE FROM gestion_santep WHERE consultation ='".$id."'";
la commande extract() va créer une variable pour chaque $_get[] que tu as passé dans ton url, en l'ocurence pour toi id. ensuite dans ta requete il ne reste plus qu'a définir ton get comme cela : $id

bonne chance
28/06/2006, 20h50
bkill
wow, ca c'est un tout petit peu dangereux, le extract, si t'as par le plus grand des malheurs une variable locale qui porte le même nom qu'un de tes index de ton $_GET, adios!

Aussi, la syntaxe correcte est (si je ne m'abuse):
Code:

1 2 extract($_GET);
28/06/2006, 20h50
cyrill.gremaud
Citation:
Envoyé par bkill

Je vois de plus en plus de posts, où chacun reprend ses variables $_GET (ou $_POST ou autre) et les réassigne dans des nouvelles variables... Je n'arrive pas trop à comprendre quelle est la stratégie là dedans, mais il doit certainement y en avoir une :)

Sinon, c'est tout à fait possible (et ca évite de redéfinir des variables supplémentaires, inutiles) comme suit:

Code:

1 2 $sql = 'DELETE FROM gestion_santep WHERE consultation = '.$_GET['id'];
il est vrai que cette maniere est utile si l'on utilise une seul fois la variable passé dans l'url car la création de varibale supplémentaire contraint a une baisse de performance au niveau de ton code... mais pour un simple site on ne verra pas de différence mais c'est quand même important de le savoir pour le jour où tu devras faire un site important ! ;)
28/06/2006, 20h52
cyrill.gremaud

Citation:

Envoyé par bkill

wow, ca c'est un tout petit peu dangereux, le extract, si t'as par le plus grand des malheurs une variable locale qui porte le même nom qu'un de tes index de ton $_GET, adios!

hum interressant... je n'avais jamais pensé à cette option... peux-tu me donner un exemple concret s'il te plait ?

merci
28/06/2006, 20h53
bkill

Citation:

Envoyé par cyrill

il est vrai que cette maniere est utile si l'on utilise une seul fois la variable passé dans l'url car la création de varibale supplémentaire contraint a une baisse de performance au niveau de ton code... mais pour un simple site on ne verra pas de différence mais c'est quand même important de le savoir pour le jour où tu devras faire un site important ! ;)

Je pense aussi que ca permet de savoir, à n'importe quel endroit du code, d'où provient la variable que tu utilises. En te forçant à toujours utiliser $_GET['id'], tu sais que cette variable à été passée en paramètre à ta page. En utilisant $id, tu peux en avoir fait n'importe quoi auparavant.
Enfin bref, conventions de code, je dirais.
28/06/2006, 20h54
bkill
Citation:

Envoyé par cyrill

hum interressant... je n'avais jamais pensé à cette option... peux-tu me donner un exemple concret s'il te plait ?

merci

On peut gérer ces collisions, tout de même, avec des paramètres:

"extract() vérifie l'existence de la variable avant de la créer. Le traitement des collisions est déterminé par extract_type"

extract

Mais l'option par défaut est EXTR_OVERWRITE, donc écrase une variable auparavant prédéfinie.

Ex:
Code:

1 2 3 4 5 $_GET['id'] = "123"; $id = "456"; extract($_GET); echo $id; // 123
28/06/2006, 20h54
cyrill.gremaud

ok merci beaucoup de tes informations
28/06/2006, 21h08
ska_root

Salut,

presque rien à voir, mais je me dois de te prévenir :
attention aux injections SQL !!

ta variable $id sorti de l'URL directement insérée dans la requête, c'est la porte ouverte à ce genre d'attaque..

si tu vises un accés public à ce développement, prends soin de protéger les données avec la fonction mysql_real_escape_string()

bon développement
;)
28/06/2006, 21h41
cyrill.gremaud

merci pour l'info ! ;)
28/06/2006, 21h55
bkill
Citation:

Envoyé par ska_root

presque rien à voir, mais je me dois de te prévenir :
attention aux injections SQL !!

Ca, c'est certain qu'il faut également s'occuper de ca.

Personnellement, j'aurais fait quelque chose du genre, idée comme une autre:
Code:

1 2 3 4 if (is_numeric($_GET['id'])) { // traitement SQL }
28/06/2006, 22h18
yvon_huynh

1 pièce(s) jointe(s)

il me semble que le probleme ne soit pas la car rien de ce aue j'essais ne marche.

merci pour le debat aue cela a sucite mais mon probleme se situe a un niveau infeieur en terme de technicite je pense.
quoique je fasse (extract(), entourage des simple quotes par des doubles quotes. ) j'obtiens le message suivant:

Notice: Undefined variable: id in c:\program files\easyphp1-8\www\gestion\gestiondelete.php on line 16

pour information je vous livre la config de mon serveur php en piece jointe:
y a il un pb de config? ca fait deux jours que je me casse les dents sur ce pb.grrrr

pour info ce lscript marche sur le serveur de free mais pas chez moi.
28/06/2006, 22h39
Maxoo

Citation:

Notice: Undefined variable: id

ca veut juste dire que id n'a pas été défini proprement.

remontre le code que tu utilises ?

P.S et sur free ca montre pas les notice, donc c'est normal, Notice, ce n'est pas une erreur !!
28/06/2006, 22h43
yvon_huynh

bon je vais poster en integralite le code

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<HTML>
<HEAD>
<TITLE>Index</TITLE>
<META http-equiv="Content-Type" content="text/html; charset=utf-8">
</HEAD>
<?
include("connect.php");
?>

<H1>Confirm deletion</H1>

<? if (isset($_POST['confirm'])) {
$id = $_GET['id'];
$sql = "DELETE FROM gestion_santep WHERE consultation='".$id."'";

if($result=mysql_query($sql))
{echo "l'écriture a réussi";
require("gestionLinkBar.php");

} else {
echo "erreur d'écriture.";

}
}
else if (isset($_POST['cancel'])){

echo "Goodbye";
require("gestionLinkBar.php");

}
?>
<form method="POST" action="gestionDelete.php">
<input type="submit" name="confirm" value="Confirm">
<input type="submit" name="cancel" value="Cancel">

merci

Code:

1 2 <? if (isset($_POST['confirm'])) { $sql = "DELETE FROM gestion_santep WHERE consultation='".$_GET['id']."' ";
te complique pas la vie !!

et pense au balise code stp.

28/06/2006, 23h02
yvon_huynh

ok mais n empeche que ca non plus ca ne marche pas...

j ai toujours le meme message...
il me dit toujours que la variable est indefinie..
28/06/2006, 23h02
bkill
ouais, mais, d'une part:
Code:

1 2 <? if (isset($_POST['confirm'])) {
et d'autre part:
Code:

1 2 $sql = "DELETE FROM gestion_santep WHERE consultation='".$_GET['id']."' ";
T'es en GET ou en POST, pour finir ? :)
Faudrait peut-être utiliser tout le temps les variables GET, ou tout le temps les POST, pour récupérer les valeurs de ton formulaire posté.
28/06/2006, 23h04
bkill
Et as-tu un champs hidden dans ton formulaire qui s'appelle id ?
Code:

1 2 <input type="hidden" name="id" value="123" />
Si non, tu peux encore poster pendant longtemps :)

Un exemple tiré de ton code pour que tu comprennes...

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
 
<?php
// connexion base de donnees
include("connect.php");
 
// initialisation (la premiere te generait un avertoch de type 'notice')
$id =(!isset($_POST['id']))?(''):($_POST['id']);
$cancel=(!isset($_POST['cancel']))?('Goodbye'):($_POST['cancel']);
$msg='';
 
// si formulaire envoye
if (isset($_POST['confirm'])) {
 
   // traitement base
   $id = mysql_real_escape_string($id);
   $sql = "DELETE FROM gestion_santep WHERE consultation='$id'";
   if($result=mysql_query($sql)) $msg="l'écriture a réussi";
   else $msg="erreur d'écriture";
 
}
 
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<HTML>
<HEAD>
<TITLE>Index</TITLE>
<META http-equiv="Content-Type" content="text/html; charset=utf-8">
</HEAD>
<H1>Confirm deletion</H1>
<?php
echo $msg;
echo $cancel;
require("gestionLinkBar.php");
?>
<form method="POST" action="gestionDelete.php">
<input type="submit" name="confirm" value="Confirm">
<input type="submit" name="cancel" value="Cancel">

par contre j'espere que tu as une balise envoyant la valeur de la propriété "id" dans ton formulaire, sinon ça risque pas de fonctionner...

comme on ne voit pas la fin du formulaire je l'imagine donc...

;)

30/06/2006, 17h01
yvon_huynh

J'ai compris mon problème

en fait en cliquant sur "confirm", j'envoi sur une nouvelle occurence la même page, du coup comme la variable $id n'existe que pour une seule page et qu'elle n'est pas gardée en mémoire pour le nouvel appel, elle n'existe plus...
du coup j'ai tenté une autre solution sans les formulaires.
j'utilise uniquement des lien URL pour passer des valeurs entre les pages et ça marche beaucoup mieux!
Yvon
moralité, n'utilisez les formulaires que pour entrer des données dans une base.