la communauté d'entraide francophone dédiée au PHP
blocage suite syntax
william5398
Invité n'ayant pas de compte PHPfrance
Bonjour, j'ai créé un forum avec 2 tbl sur sql, question-réponses, tout fonctionne tant que je n'introduis pas UNE APOSTROPHE ( ' );sql me renvoie alors un erreur: you have an error in you SQL syntax, check the manual......j'avais eu un problème avec les accents aigus ou autres, résolu avec charset ISO-8859-1. est-ce de la même source et comment résoudre?? D'avance merci William539
Mammouth du PHP |
2937 Messages
L'apostrophe (ou plutôt le guillemet simple) est un caractère sensible, puisque, comme en PHP, il est susceptible de délimiter une chaîne de caractères. C'est pourquoi, utilisé en tant que tel, il doit être échappé, comme suit :
Lorsque l'on construit une requête SQL en PHP susceptible de comporter des chaînes de caractères avec des guillemets, pour éviter une erreur de syntaxe (ainsi qu'une tentative d'attaque par injection SQL), on procède comme suit, au choix :
SELECT colonne FROM une_table WHERE colonne = 'Une chaîne comportant des guillemets qu\'il convient d\'échapper';SELECT colonne FROM une_table WHERE colonne = 'Une chaîne comportant des guillemets qu''il convient d''échapper';Lorsque l'on construit une requête SQL en PHP susceptible de comporter des chaînes de caractères avec des guillemets, pour éviter une erreur de syntaxe (ainsi qu'une tentative d'attaque par injection SQL), on procède comme suit, au choix :
- on utilise la fonction mysql_real_escape_string () ;
- ou, si l'on utilise PDO :
- soit on utilise la méthode quote (),
- soit on utilise des requêtes préparées.
william5398
Invité n'ayant pas de compte PHPfrance
Merci Victor, J'aimerais utiliser 'mysql_real_escape_string()' mais je ne vois pas ou l'introduire dans une requete tel que: "Insert into $tbname(intitule, nom, prenom) VALUES('$intitule', '$nom', '$prenom')" ; $result=mysql_query($sql) or die(mysql_error()); if(result){echo OK;}else{NONOK;}
william539
william539
Mammouth du PHP |
2937 Messages
C'est très simple.
$sql = "INSERT INTO ".$tbname." (intitule, nom, prenom) VALUES ('".mysql_real_escape_string ($intitule)."', '".mysql_real_escape_string ($nom)."', '".mysql_real_escape_string ($prenom)."')";
william5398
Invité n'ayant pas de compte PHPfrance
je ne peux que me confondre en remerciements, ça fait 3 jours que je sèche, j'ai au moins appris qqchose grâce à toi. et ça fonctionne à merveille .Merci encore
william539
william539
Yanou
Invité n'ayant pas de compte PHPfrance
Je présente mes plus sincères salutations au grand Victor, que dis-je, à l'immense Victor qui m'a enlevé une épine du pied en plus d'avoir sauvé mon couple, mon écran et mon clavier ! =D> =D> =D>