$integer = $_tableau['nombre'];
ctype_digit($integer); // -> si $integer contient un entier positif -> true

$integer = 42; -> est juste un cas particulier pour spécifier qu'il vérifie que les variables de type String et non de Type Int.
Et donc pour différencier la fonction ctype_digit() de la fonction is_int().
(Enfin je pense...)

is_int(): http://php.net/manual/fr/function.is-int.php

Merci beaucoup pour votre aide c'est vraiment très détaillé et complet.Oui Oui je suis un apprenti donc tout me sert
Sauf que je pensé que la $_SESSION c'est coté serveur , j'ai même pas utilisé les cookies pour que se soit plus sure .

j'ai encore une question
dans une requête UPDATE , j'utilise mysql_real_escape_string ?
merci beaucoup.

dans une requête UPDATE , j'utilise mysql_real_escape_string ?
merci beaucoup.

Oui

Olalala je pensé que c'été plus facile que sa de sécurisé un site ...
donc pour une requête comme sa

$sql=mysql_query("INSERT INTO ref (id_m,id_rem) VALUES(mysql_real_escape_string($id),mysql_real_escape_string($id_rem))")

et si il y avais un WHERE , comme cette requête ?

mysql_query("UPDATE membres SET ref_code = '$ref_code' WHERE id_membres='$id';")

aider moi svp j'en peut plus et j'avance comme une fourmille sur mon site
merci beaucoup

désoler la première c'est un INSERT, je suppose que j'utilise pas mysql_real_escape_string avec ?
mais pour update je trouve pas comment le faire surtout avec les simple guillemet
merci

INSERT aussi oui !

$sql = mysql_query('INSERT INTO `ref`(id_m, id_rem) VALUES(' . "'" . mysql_real_escape_string($id) . "', '" . mysql_real_escape_string($id_rem) . "')");

mysql_query('UPDATE `membres` SET ref_code = ' . "'" . mysql_real_escape_string($ref_code) . "'" . ' WHERE id_membres = ' . "'" . mysql_real_escape_string($id) . "'");

Moi pour cela je décomposerais : (c'est plus lisible)

<?php
$id = mysql_real_escape_string($id); //histoire de ne pas l'oublier
$id_rem = mysql_real_escape_string($id_rem);
$requete = "INSERT INTO ref (id_m,id_rem) VALUES('$id','$id_rem')"; //ta requete ainsi est plus lisible

//on passe au condition : je considère que id et id_mem sont des integers
if (is_integer($id) && is_integer($id_mem))
{
  mysql_query($requete);
}
else
{
  echo 'problème : message d\'erreur, ou autres gestions des erreurs';
}
?>

Salut,

Rien ne t'empèche, en plus, de regarder le schéma de la table et faire une comparainson par champ/type.
Voici un lien qui peut t'interresser: http://sqlpro.developpez.com/cours/sqla ... partie2#L9

@+

Moi pour cela je décomposerais : (c'est plus lisible)

//on passe au condition : je considère que id et id_mem sont des integers
if (is_integer($id) && is_integer($id_mem))
{
  mysql_query($requete);
}

Ok pour cela, mais dans ce cas: inutile d'utiliser mysql_real_escape_string():
(et quitte a sortir les variables de cette manière -> autant faire un test isset)

$id = mysql_real_escape_string($id); //histoire de ne pas l'oublier
$id_rem = mysql_real_escape_string($id_rem);

Et inutile, aussi, d'entourer les variables avec des guillemets:

VALUES('$id','$id_rem')"; //ta requete ainsi est plus lisible

Et cela sera encore beaucoup plus lisible: (Ce que j'expliquais plus tôt dans ce Topic)...

Sauf que ici, rien ne prouve que $id et $id_rem sont des Int, $id peut très bien être simplement le pseudo...
Donc, ceci est plus logique et de toute manière pas moins sécurisé:
(ctype_alnum ne répondra true que si la variable est une chaine...)

$id_rem = (isset($id_rem)) ? mysql_real_escape_string($id_rem) : null;
$id = (isset($id)) ? mysql_real_escape_string($id) : null;

$sql = 'INSERT INTO `ref`(id_m, id_rem) VALUES(' . "'" . $id . "', '" . $id_rem . "')";

if(ctype_alnum($id) && ctype_alnum($id_rem)) {
   mysql_query($sql);
}

et:

$ref_code = (isset($ref_code)) ? mysql_real_escape_string($ref_code) : null;
$id = (isset($id)) ? mysql_real_escape_string($id) : null;

$sql = 'UPDATE `membres` SET ref_code = ' . "'" . $ref_code . "'" . ' WHERE id_membres = ' . "'" . $id . "'";

if(ctype_alnum($ref_code) && ctype_alnum($id)) {
   mysql_query($sql);
}

L'important surtout, je croies, pour l'auteur du Topic est de comprendre pourquoi utiliser telle ou telle fonction et/ou telle ou telle syntaxe...

Ps: on pourrait chipoter en enlevant mysql_real_escape_string() quand on utilise ctype_alnum() mais par habitude je n'utilise pas mysql_real_escape_string() seulement quand la variable contient un entier...
C'est plus simple et on évite certains bugs possibles...

Ps2, au sujet de mysql_real_escape_string(): (pour info)

La connexion MySQL. S'il n'est pas spécifié, la dernière connexion ouverte avec la fonction mysql_connect() sera utilisée. Si une telle connexion n'est pas trouvée, la fonction tentera d'ouvrir une connexion, comme si la fonction mysql_connect() avait été appelée sans argument. Si aucune connexion n'est trouvée ou établie, une alerte E_WARNING est générée.

Et pourquoi ne pas utiliser les requête préparées via PDO?

Simplement car je n'ai jamais encore utilisé ni testé les requête préparées via PDO.

Mais si tu veux en parler, n'hésites pas

Oui tu as raison, surtout que c'est encore beaucoup plus simple en PDO

$id_rem = (isset($id_rem)) ? trim($id_rem) : null;
$id = (isset($id)) ? trim($id) : null;

if(ctype_alnum($id) && ctype_alnum($id_rem)) {
try {  
// remplace localhost, myDatabase, user et pass par tes paramétres de connexion Sql
$conection = new PDO('mysql:host=localhost;dbname=myDatabase', 'user', 'pass');
$conection->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

$requete = $conection->prepare("INSERT INTO `ref` (`id_m`, `id_rem`) VALUES (?, ?)");

$requete->execute(array($id, $id_rem));
} catch (Exception $e) {  
echo "Erreur: " . $e->getMessage();  
}  
}

C'est surtout moins galère à gérer puisque PDO fait tout pour toi.

C'est sur