Posez votre question Signaler

Requete SQL avec variable php

susherone - Dernière réponse le 11 août 2009 à 10:13
Bonjour,
Voila pour dans mon site internet, je crée une requete sql grace à laquel je vais renseigner une base de données (INSERT)
Je veux remplir la les champs de la table par des variables que j'avais recupéré avant dans un cookie. Je vous montre la requete en php.
$sql="INSERT INTO Réponses_jour (1,2,3) VALUES ($_COOKIE['site'],$_COOKIE['medecin'],$_COOKIE['matricule'])";
Mais la syntaxe est fausse. Et je ne trouve pas comment l'écrire.
Pouvez vous m'aider ?
Lire la suite 

Requete SQL avec variable php »

4 réponses
Réponse
+3
moins plus
Xil 358Messages postés 18 janvier 2008Date d'inscription 5 févr. 2008 à 15:45
Si ta requête est entre double quote ( " " ), il ne faut plus de simple quote ( ' ' ) autour de l'indice d'un tableau. Il faut par contre d'office des ' ou " autour des variables de chaines de caractères en SQL.
Les quatre formats suivant sont valables : 
"INSERT INTO table (colonne) VALUES ('$array[indice]');"
"INSERT INTO table (colonne) VALUES ('" . $array['indice'] . "');" 
'INSERT INTO table (colonne) VALUES (\'' . $array['indice'] . '\');' 
'INSERT INTO table (colonne) VALUES ("' . $array['indice'] . '");'


Et je conseille vivement d'user d'un maximum de précaution quand on manipule une BDD avec des valeurs fournies par l'utilisateur.
http://www.php.net/htmlspecialchars
http://www.php.net/strip_tags
http://www.php.net/intval
http://www.php.net/mysql_real_escape_string
http://www.php.net/addslashes

http://fr.wikipedia.org/wiki/Injection_SQL

Les Cookies sont aisément modifiables.

 Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
Olimix 5 févr. 2008 à 15:46
salut
essayes ca :

" INSERT INTO user VALUES( '$_COOKIE['site']', '$_COOKIE['medecin']', '$_COOKIE['matricule']' ) "


dans ta bdd il faut que les colonnes soit dans l'ordre
site --> 1ere colonne
medecin --> 2eme colonne
matricule --> 3eme colonne

En php tu appeler cette requete comme ca :

if (mysql_query("I INSERT INTO user VALUES( '$_COOKIE['site']', '$_COOKIE['medecin']', '$_COOKIE['matricule']' ) ") or die(mysql_error()))
{
echo "OK , inséré dans la BDD";
}

 Ajouter un commentaire
Xil- 5 févr. 2008 à 16:22
Il ne faut plus mettre les ' ' autour de l'indice de $_COOKIE ou de n'importe quel tableau. 
"...Values ('$_COOKIE['site']')"
est incorrect.
PHP renvoit une erreur de parsing :
PHP Parse error:  syntax error, unexpected T_ENCAPSED_AND_WHITESPACE, expecting T_STRING or T_VARIABLE or T_NUM_STRING


Ceci est correct : 
"...VALUES ('$_COOKIE[site]')"

Ou une autre syntaxe comme dans mon premier post.

Ceci dit, si l'on passe par des fonctions de sécurité, le problème ne se pose plus ;)
Ajouter un commentaire
Réponse
+0
moins plus
Bludwarf 11 août 2009 à 10:13
Le problème en écrivant :

"...Values ('$_COOKIE['site']')" ou même
"...Values ('$_COOKIE[site]')"

c'est que PHP va pas savoir déterminer ce qu'il doit afficher.
Pour afficher une variable toute seule on peut faire :

"...Values ('$variable')"

Mais pour un tableau il vaut mieux séparer la chaine en deux :

"...Values ('" . $_COOKIE['site'] . "')"

Le "point" permet de concaténer deux chaines.

J'espère avoir aidé quelqu'un ;)

 Ajouter un commentaire
Ajouter un commentaire
Posez votre question
Ce document intitulé « Requete SQL avec variable php » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?